作者 主題: [問題]請教netstat 連線問題?  (閱讀 1961 次)

0 會員 與 1 訪客 正在閱讀本文。

joe0120

  • 活潑的大學生
  • ***
  • 文章數: 241
    • 檢視個人資料
[問題]請教netstat 連線問題?
« 於: 2012-02-01 16:22 »
環境:
OS: CentOS release 4.5 (Final)
該主機作用 linux - router

連線訊息:
#netstat -ntulpa
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
...
tcp        0      0 0.0.0.0:60666               0.0.0.0:*                   LISTEN      1975/crond
tcp        0      0 140.128.66.115:33216          67.220.72.130:6667          ESTABLISHED 27649/logs


在登入主機後,發現上述紅色部份已經和主機建立連線,但 iptables 上並沒有開放該 IP 與連接 port,並且設定預設 INPUT  DROP。

1、系統上並沒有開放33216 port呀,為什麼它還是可以和該主機建立連線?
2、請問這有可能是什麼狀況?
3、該如何檢查系統那邊有問題?

謝"

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Re: [問題]請教netstat 連線問題?
« 回覆 #1 於: 2012-02-01 17:58 »
1. 自己連出去的
2. rule 寫錯
3. 在 iptables 執行前就連好了

應該只有這幾種可能吧.

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
Re: [問題]請教netstat 連線問題?
« 回覆 #2 於: 2012-02-02 11:05 »
cat /etc/services | grep 6667
ircu-3          6667/tcp        ircd    # IRCU
ircu-3          6667/udp        ircd    # IRCU

由140.128.66.115:33216  連到  67.220.72.130:6667 的 irc 服務。

joe0120

  • 活潑的大學生
  • ***
  • 文章數: 241
    • 檢視個人資料
Re: [問題]請教netstat 連線問題?
« 回覆 #3 於: 2012-02-10 21:56 »
cat /etc/services | grep 6667
ircu-3          6667/tcp        ircd    # IRCU
ircu-3          6667/udp        ircd    # IRCU

由140.128.66.115:33216  連到  67.220.72.130:6667 的 irc 服務。

請問如何判斷由140.128.66.115:33216  連到  67.220.72.130:6667
說不是由 67.220.72.130:6667  連到140.128.66.115:33216

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
Re: [問題]請教netstat 連線問題?
« 回覆 #4 於: 2012-02-10 23:32 »
請問如何判斷由140.128.66.115:33216  連到  67.220.72.130:6667
說不是由 67.220.72.130:6667  連到140.128.66.115:33216
已建立的 tcp 連線, 應該看不出誰去連誰.
只能用其他資訊去猜吧.

1. 你的機器有程式 listen 33216 這個 port? 沒有的話, 就應該是連出去而不是連進來.
2. 你的 firewall 不是不允許該 port 連入? 那除非是 firewall 的 rule 生效前就連入, 否則也應該只能是連出.
3. 對方的 port 看起來像是某些服務常用的 port, 所以連出的可能性比較大.