Ручне закриття порту з командного рядка

Я хочу закрити відкритий порт, який знаходиться в режимі прослуховування між моїм клієнтом і серверною програмою.

Чи є в Linux будь-який варіант командного рядка для закриття порту?

ПРИМІТКА. Мені стало відомо, що «закривати його має лише програма, яка володіє підключеним сокетом, що станеться, коли програма припиняється».

Я не розумію, чому це можливо лише через додаток, який її відкриває ... Але я все одно хочу знати, чи є ще якийсь спосіб зробити це.

У мене була така ж проблема, процес повинен залишатися живим, але розетка повинна закриватися. Закрити розетку в запущеному процесі не неможливо, але складно:

1. Знайдіть процес:

   netstat -np
   

   Ви отримуєте source/destination ip:port portstate pid/processnameкарту

2. знайдіть дескриптор файлу сокета в процесі

   lsof -np $pid
   

   Ви отримуєте список: ім'я процесу, pid, користувач, fileDescriptor, ... рядок з'єднання.

   Знайдіть відповідний номер файлаDescriptor для з'єднання. Це буде щось на кшталт "97u", що означає "97".

3. Тепер підключіть процес:

   gdb -p $pid
   

4. Тепер закрийте розетку:

   call close($fileDescriptor) //does not need ; at end.
   

   приклад:

   call close(97)
   

   Потім від'єднайте gdb:

   quit
   

   І розетка закрита.

Ви ніби не задаєте тут неправильне запитання. Насправді неможливо просто «закрити порт» поза додатком, який відкрив сокет, слухаючи його. Єдиний спосіб зробити це - повністю знищити процес, яким належить порт. Потім, приблизно через хвилину-дві, порт знову стане доступним для використання. Ось що відбувається (якщо вам все одно, пропустіть до кінця, де я покажу вам, як вбити процес, що володіє певним портом):

Порти - це ресурси, виділені ОС на різні процеси. Це схоже на запит ОС для вказівника на файл. Однак, на відміну від покажчиків файлів, порт може мати власне лише ОДИН процес за один раз. Через інтерфейс сокетів BSD процеси можуть подати запит на прослуховування через порт, який ОС надасть. ОС також переконається, що жоден інший процес не отримує той же порт. У будь-який момент процес може звільнити порт, закривши сокет. Потім ОС поверне порт. Крім того, якщо процес закінчиться, не звільняючи порт, ОС з часом поверне порт (хоча це станеться не відразу: це займе кілька хвилин).

Тепер те, що ви хочете зробити (просто закрити порт з командного рядка), неможливо з двох причин. По-перше, якби це було можливо, це означало б, що один процес може просто вкрасти ресурс іншого процесу (порт). Це було б поганою політикою, якщо не обмежуватись лише пільговими процесами. Друга причина - незрозуміло, що буде з процесом, який володів портом, якщо ми дозволимо йому продовжувати працювати. Код процесу пишеться, припускаючи, що він володіє цим ресурсом. Якщо ми його просто забрали, це в кінцевому підсумку вийде з ладу, тому ОС не дозволяє вам це робити, навіть якщо ви привілейований процес. Натомість ви повинні їх просто вбити.

У будь-якому випадку, ось як вбити процес, який належить певному порту:

sudo netstat -ap | grep :<port_number>

Це виведе рядок, відповідний порту, що тримає процес, наприклад:

tcp  0  0 *:8000   *:* LISTEN  4683/procHoldingPort

У цьому випадку procHoldingPort - це ім'я процесу, який відкрив порт, 4683 - його pid, а 8000 (зауважте, що це TCP) - номер порту, який він містить.

Потім, подивіться в останню колонку, ви побачите /. Потім виконайте це:

kill  <pid>

Якщо це не працює (ви можете перевірити, повторно запустивши команду netstat). Зробити це:

kill -9 <pid>

Загалом, краще уникати надсилання SIGKILL, якщо можете. Ось чому я кажу вам спробувати killраніше kill -9. Просто за допомогою killвідправляє ніжніший SIGTERM.

Як я вже говорив, для порту все одно знадобиться кілька хвилин, якщо ви це зробите. Я не знаю способу прискорити це. Якщо це хтось інший, я хотів би це почути.

Також можна використовувати фюзер

fuser -k -n *protocol portno*

Тут протокол - tcp / udp, а portno - номер, який ви хочете закрити. Напр

fuser -k -n tcp 37

Більше інформації на сторінці людини fuser

Ви також можете використовувати iptables:

iptables -I INPUT -p tcp --dport 80 -j DROP

Це в основному здійснює те, що ви хочете. Це приведе весь трафік TCP до порту 80.

netstat -anp | grep 80

Він повинен вам сказати, якщо ви використовуєте apache, "httpd" (це лише приклад, використовуйте порт, який використовує ваша програма замість 80)

pkill -9 httpd 

або

killall -9 httpd

Можливо, ви могли просто дізнатися, з яким процесом відкрився сокет, з яким асоціюється порт, і вбити цей процес.

Але вам доведеться усвідомити, що якщо в цьому процесі немає обробника, який деаніціалізує всі речі, які він використовував (відкриті файли, розетки, вилки, речі, які можуть затримуватися, якщо вони не закриті належним чином після закінчення), ви створили б це затягуйте продуктивність системи. Плюс до цього, сокет залишатиметься відкритим, поки ядро ​​не зрозуміє, що процес був убитий. Зазвичай це займає близько хвилини.

Я припускаю, що краще питання було б: на якому порту (що належить до того процесу) ви хочете зупинитись?

Якщо ви намагаєтесь покінчити із знайденим заднім краєм або вірусом, то вам слід принаймні дізнатися, які дані рухаються вперед і назад, перш ніж припинити їх. (wireshark хороший для цього) (І виконуване ім'я процесу, щоб ви могли його видалити і не допустити його повернення при перезавантаженні) або, якщо це щось встановлене (наприклад, HTTPD або FTPD або щось подібне), тоді ви вже повинні мати доступ до сам процес.

Зазвичай у нього буде програма управління (зупинка HTTPD | запуск | або щось таке). Або, якщо це системна річ, ви, мабуть, не повинні з цим возитися. У всякому разі, я думав, що оскільки всі інші надають тобі кут "як", я повинен дати тобі застереження.

Спочатку я шукав процеси монго та вузла, а потім робив наступне:

ps -A | grep node

10418 pts/23   00:00:05 node

10551 pts/23   00:00:00 node

ps -A | grep mongo

10490 pts/23   00:00:00 mongod

Після ідентифікації просто вбийте процеси за допомогою команди kill.

kill -9 10418
kill -9 10490

Нарешті, введіть meteorі він повинен працювати знову.

Ви можете написати сценарій, який змінив iptables і перезапустив їх. Один сценарій для додавання правила, що скидає всі пакети на порт, інший сценарій для видалення цього правила.

Інші відповіді показали вам, як вбити процес, прив’язаний до порту - це може бути не тим, що ви хочете. Якщо ви хочете, щоб сервер продовжував працювати, але для запобігання з'єднань з клієнтами, ви хочете заблокувати порт, а не зупиняти процес.

Ще одне питання: колись ядро ​​володіє самими портами. Я знаю, що маршрутизація NAT містить деякі порти, відкриті для використання NAT. Ви не можете вбити процес для цього, це ядро, потрібна переконфігурація та перезавантаження.

Якщо ви хочете, щоб ваш порт вийшов швидше, вам слід встановити наступне значення:

echo 1 > /proc/sys/net/ipv4/tcp_fin_timeout

встановити його від 60 секунд (за замовчуванням) до 1 секунди

Ви можете використовувати команду з назвою killcx, закриваючи з'єднання без жодного процесу для вбивства.

• синтаксис:

killcx [dest_ip:dest_port] {interface}

  dest_ip              : remote IP
  dest_port            : remote port
  interface (optional) : network interface (eth0, lo etc).

• приклад:

killcx 120.121.122.123:1234
killcx 120.121.122.123:1234 eth0

Я знаю, що ця відповідь не відповідає саме на це питання, строго кажучи, але, читаючи в ньому, це може бути відповідною інформацією:

Поведінка за замовчуванням прив'язки сокета до порту (та адреси) полягає в тому, що коли сокет закритий різким припиненням процесу, сокет деякий час залишатиметься в TIME_WAIT. Це означає, що ви не можете негайно повторно зв’язати цю адресу / порт. Якщо ви розробляєте саму систему через стандартний інтерфейс сокетів BSD, ви можете (принаймні певною мірою) контролювати цю поведінку за допомогою параметра SO_REUSEADDR socket. Це в основному дозволить вам знову прив'язатись до тієї ж адреси / порту, якщо сокет знаходиться у статусі TIME_WAIT. Все ж одна розетка на порт!

Однак ця інформація повинна використовуватися лише як допомога розвитку, оскільки існує причина, що TIME_WAIT існує в першу чергу, що вже було пояснено в інших відповідях.

Якщо ви не хочете, щоб через сокет не було трафіку, але ви хочете зберегти процес: tcpkill .

tcpkill -i eth0 host xxx.xxx.xxx.xxx and port yyyy

Почнеться нюхаючий демон, який перехоплює і руйнує весь трафік на цьому порту. Дуже зручно для тестування ваших програм на мережеві розбиття.

Ви можете закрити прослуховувальну розетку за допомогою ss :

sudo ss --kill state listening src :1234

Де 1234 - номер вашого порту.

ss є частиною пакету iproute2, тому є сильна зміна, вона вже встановлена ​​на сучасному Linux.

Я дізнався про це з відповіді на пов’язане питання .