2 ports offen, aber warum?

[mR. bluE]

mit

Code: Alles auswählen

netstat -tulpen | grep -v 127.0.0.1

wollte ich mal rausbekommen welche ports in meinem system genutzt werden, leider sind da 2 Einträge mit denen ich nichts anfangen kann

Code: Alles auswählen

Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:51698           0.0.0.0:*               LISTEN      0          5523        -
udp        0      0 0.0.0.0:55938           0.0.0.0:*                           0          5516        -

bei "PID/Programm Name" ist wie ihr seht nur ein - eingetragen, kann mir jemand verraten wie ich jetzt am besten mal auf die suche gehen kann?
In der /etc/services hab ich schon erfolglos nach den Ports gesucht

[123456]

In der /etc/services hab ich schon erfolglos nach den Ports gesucht

laut IANA: http://www.iana.org/assignments/port-numbers sind diese Ports unassigned.

Versuchs mal mit Google. Die 5523 (tcp) ist bsp. bei der Playstation offen.

[uname]

Was sagt:

Code: Alles auswählen

lsof
lsof -i

(entsprechend mit "fgrep" eingeschränkt?

[mR. bluE]

also mit lsof komm ich nicht weiter,der zeigt mir leider nicht überall ports an zbsp hier:

Code: Alles auswählen

portmap    1935      daemon    5u  IPv4   4648       TCP *:sunrpc (LISTEN)

bei anderen steht ein port dabei

Code: Alles auswählen

rpc.statd  1947       statd    5u  IPv4   4682       UDP *:851

und bei anderen zeilen ists richtig ausführlich allerdings anstatt ein port steht der name des daemons (und was soll die 1188 bedeuten?)

Code: Alles auswählen

sshd      29733        root    3r  IPv4 592134       TCP 192.168.100.125:ssh->Fritz:1188 (ESTABLISHED)

und das beste laut manpage sollte das ganze eigentlich das Format haben

Code: Alles auswählen

[46][protocol][@hostname|hostaddr][:service|port]

leute ich bin ein wenig verwirrt

[mR. bluE]

achja mit

Code: Alles auswählen

lsof -i :2049

bekomm ich gar nix zurück (bei den bekannten ports klappts aber, also an der befehleingabe kanns nicht liegen)

[123456]

ich hab da oben Quatsch geschrieben. Das ist ja gar nicht Port 5523.

Den Strich bekommst du wahrscheinlich bei der Ausgabe, weil Du nicht root bist:

PID/Program name
Slash-separated pair of the process id (PID) and process name of the process that
owns the socket. --program causes this column to be included. You will also need
superuser privileges to see this information on sockets you don't own. This identi-
fication information is not yet available for IPX sockets.

Als root sollte es die PID/Program Namens Kombi des Prozess Owners anzeigen.

[Danielx]

also mit lsof komm ich nicht weiter,der zeigt mir leider nicht überall ports an zbsp hier:

Code: Alles auswählen

portmap    1935      daemon    5u  IPv4   4648       TCP *:sunrpc (LISTEN)

sunrpc ist der Port!

Code: Alles auswählen

grep sunrpc /etc/services
sunrpc          111/tcp         portmapper      # RPC 4.0 portmapper
sunrpc          111/udp         portmapper

was soll die 1188 bedeuten?

Client-Port.

und das beste laut manpage sollte das ganze eigentlich das Format haben

Code: Alles auswählen

[46][protocol][@hostname|hostaddr][:service|port]

Welche Manpage?

leute ich bin ein wenig verwirrt

Das merkt man deutlich.

achja mit

Code: Alles auswählen

lsof -i :2049

bekomm ich gar nix zurück (bei den bekannten ports klappts aber, also an der befehleingabe kanns nicht liegen)

Wie kommst du auf 2049?

Gruß,
Daniel

[mR. bluE]

die 2049 hab ich auch als komischen netstat output, die kommt aber vermutlich vom nfs daemon, allerdings frage ich mich warum da bei Pid/programm nur ein - steht

Code: Alles auswählen

tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      0          5506        -

wie ich hier gelesen habe richtet sich die netstat ausgabe ohnehin nur nach der etc/services, also wenn da der port nicht eingetragen ist, kann ich gar nicht rausbekommen was es ist

The change to /etc/services isn't necessary at all. It just helps produces a nice (sensible) output from netstat -tl on the NFS server.

komischerweise ist der port 2049 aber korrekt eingetragen in der /etc/services

Code: Alles auswählen

nfs		2049/tcp			# Network File System
nfs		2049/udp			# Network File System

das hilft mir bei den anderen beiden ports aber alles auch net wirklich weiter

Code: Alles auswählen

Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:51698           0.0.0.0:*               LISTEN      0          5523        -
udp        0      0 0.0.0.0:55938           0.0.0.0:*                           0          5516        -

achja root bin ich übrigens daran kann es nicht liegen

also in der /etc/services findet sich kein Eintrag über die beiden ports (TCP 51698 & UDP 55938) mit lsof -i :51698 und entsprechend mit dem anderen port kommt nix zurück

sorry wenn ich mit dem 2049er Verwirrung gestiftet habe, allerdings bräuchte ich nochmal n tip wie ich weitersuchen kann

[Danielx]

Hm, du könntest mal deine Festplatte danach durchsuchen, welche Dateien die angezeigten Inodes belegen:

Code: Alles auswählen

find / -inum 5516

Code: Alles auswählen

find / -inum 5523

Vielleicht funktioniert das ja.

Gruß,
Daniel

[nepos]

wie ich hier gelesen habe richtet sich die netstat ausgabe ohnehin nur nach der etc/services, also wenn da der port nicht eingetragen ist, kann ich gar nicht rausbekommen was es ist

Wenn du netstat mit der Option -n aufrufst, dann kriegst du auch wirklich die Portnummern.
Prinzipiell sagt das aber recht wenig, wenn man nicht weiss, welches Programm wirklich den Port offen hat.
So wäre es z.B. kein Problem, einen Webserver auf Port 22 laufen zu lassen, auch wenn /etc/services sagt, dass das SSH ist

Beende bei dir doch mal versuchsweise den Prozess portmap, falls der laufen sollte und du kein NFS brauchst. Ich vermute mal, dass der diese Ports offen hat.

[rendegast]

Lösung(?):
Mach

Code: Alles auswählen

/bin/netstat -tulpen
oder auch 
/bin/netstat -tpaun

als root.



-------------- EDIT ------------------------

achja root bin ich übrigens daran kann es nicht liegen

Aber das paßt so gut:

Code: Alles auswählen

$ /bin/netstat -tpaun
(Es konnten nicht alle Prozesse identifiziert werden; Informationen über
nicht-eigene Processe werden nicht angezeigt; Root kann sie anzeigen.)
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:143           0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -               
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      -               
tcp        0      0 1.1.1.1:39901        2.2.2.2:993      VERBUNDEN   18077/sylpheed  
udp        0      0 0.0.0.0:323             0.0.0.0:*                           -               
udp        0      0 0.0.0.0:123             0.0.0.0:*                           -               
$ 
$ 
$ 
$ sudo /bin/netstat -tpaun
[sudo] password for root: 
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:143           0.0.0.0:*               LISTEN      2130/dovecot    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      2084/lighttpd   
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      2084/lighttpd   
tcp        0      0 1.1.1.1:39901        2.2.2.2:993      VERBUNDEN   18077/sylpheed  
udp        0      0 0.0.0.0:323             0.0.0.0:*                           2046/chronyd    
udp        0      0 0.0.0.0:123             0.0.0.0:*                           2046/chronyd    

[Danielx]

Wenn du netstat mit der Option -n aufrufst, dann kriegst du auch wirklich die Portnummern.

Hat er ja offensichtlich:

mit

Code: Alles auswählen

netstat -tulpen | grep -v 127.0.0.1

wollte ich mal rausbekommen welche ports in meinem system genutzt werden, leider sind da 2 Einträge mit denen ich nichts anfangen kann

Sonst würde er ja auch keine "PID/Program name"-Spalte angezeigt bekommen.

als root.

Nach seiner Aussage, hat er das ebenfalls gemacht, denn auf diesen Hinweis:

Den Strich bekommst du wahrscheinlich bei der Ausgabe, weil Du nicht root bist:

antwortete er:

achja root bin ich übrigens daran kann es nicht liegen

Gruß,
Daniel

[rendegast]

antwortete er:

achja root bin ich übrigens daran kann es nicht liegen

Vielleicht irrt mR. bluE sich?


-------------
Vielleicht irrt mR. bluE sich?
Nein, ist nicht so:

Code: Alles auswählen

# netstat -tpaun
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:56073           0.0.0.0:*               LISTEN      -
tcp        0      0 127.0.0.1:111           0.0.0.0:*               LISTEN      18476/portmap
tcp        0      0 127.0.0.1:143           0.0.0.0:*               LISTEN      2130/dovecot
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      2084/lighttpd
tcp        0      0 0.0.0.0:42225           0.0.0.0:*               LISTEN      18975/rpc.statd
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      2084/lighttpd
tcp        0      0 0.0.0.0:50652           0.0.0.0:*               LISTEN      19200/rpc.mountd
tcp        0      0 1.1.1.1:45027        2.2.2.2:80       TIME_WAIT   -
udp        0      0 0.0.0.0:2049            0.0.0.0:*                           -
udp        0      0 0.0.0.0:32786           0.0.0.0:*                           -
udp        0      0 0.0.0.0:50966           0.0.0.0:*                           19200/rpc.mountd
udp        0      0 0.0.0.0:919             0.0.0.0:*                           18975/rpc.statd
udp        0      0 0.0.0.0:56228           0.0.0.0:*                           18975/rpc.statd
udp        0      0 0.0.0.0:323             0.0.0.0:*                           2046/chronyd
udp        0      0 127.0.0.1:111           0.0.0.0:*                           18476/portmap
udp        0      0 0.0.0.0:123             0.0.0.0:*                           2046/chronyd
#

Sind vom nfs-kernel-Server / portmap.
Wäre bei einer vollständigen Ausgabe schneller klar geworden.

[mR. bluE]

Hi rendegast, bitte lass mich nicht dumm sterben und erkläre mal einen noob wie du das anhand der kompletten Ausgabe auf anhieb sehen kannst?
Bei dir wird dann anstatt des Ports TCP 51698 und UDP 55938 die Ports TCP 56073 und UDP 32786 genutzt, sehe ich das richtig?
Nachdem ich jetzt mal neu gebootet habe werden auch wieder andere Ports genutzt. Kann sein das die Position in der Ausgabeliste entscheidend ist?

Hm, du könntest mal deine Festplatte danach durchsuchen, welche Dateien die angezeigten Inodes belegen:

Code: Alles auswählen

find / -inum 5516

Code: Alles auswählen

find / -inum 5523

Vielleicht funktioniert das ja.

Gruß,
Daniel

Nein das hat leider nicht funktioniert

Code: Alles auswählen

lenny:~# find / -inum 5505
find: "/proc/2712/task/2712/fd/5": Datei oder Verzeichnis nicht gefunden
find: "/proc/2712/task/2712/fdinfo/5": Datei oder Verzeichnis nicht gefunden
find: "/proc/2712/fd/5": Datei oder Verzeichnis nicht gefunden
find: "/proc/2712/fdinfo/5": Datei oder Verzeichnis nicht gefunden

(wie gesagt nachdem Neustart wurden wieder andere Ports genutzt mit einer anderen Inode)

[rendegast]

anhand der kompletten Ausgabe auf anhieb

Aus dem Zusammenhang "portmapper - nfs - 2049 (nfs) auch leer",
dann hätte ich auch direkt mal nfs (kernel / user) (+ portmapper) installiert,
und das Ergebnis gesehen.
Denn nfs/postmapper ist "anders", hier zBsp hohe Ports ohne Eigentümer bei 'netstat'.
Wären nur 2 Posts gewesen.