Я хочу закрыть открытый порт, который находится в режиме прослушивания между моим клиентским и серверным приложением.
Есть ли какая-либо опция командной строки в Linux, чтобы закрыть порт?
ПРИМЕЧАНИЕ. Я узнал, что «только приложение, которому принадлежит подключенный сокет, должно закрывать его, что произойдет, когда приложение завершится».
Я не понимаю, почему это возможно только с помощью приложения, которое его открывает ... Но я все еще хочу знать, есть ли другой способ сделать это.
Ответы:
У меня была такая же проблема, процесс должен остаться в живых, но сокет должен закрыться. Закрытие сокета в работающем процессе не является невозможным, но трудным:
найдите процесс:
Вы получаете
source/destination ip:port portstate pid/processname
картунайдите дескриптор файла сокета в процессе
Вы получаете список: имя процесса, pid, пользователь, fileDescriptor, ... строка подключения.
Найдите соответствующий номер fileDescriptor для соединения. Это будет что-то вроде «97u», что означает «97».
Теперь подключите процесс:
Теперь закройте сокет:
пример:
Затем отсоедините GDB:
И розетка закрыта.
источник
sudo lsof -np $pid
дает мне около 200 строк, и я не понимаю, как найти нужный FD. В моем случае это вкладка Chrome, и я пытаюсь закрыть открытые веб-сокеты ...shutdown
:call shutdown($fileDescriptor, 0)
.Вы вроде задаете неправильный вопрос здесь. На самом деле просто невозможно «закрыть порт» извне приложения, которое открыло сокет, прослушивая его. Единственный способ сделать это - полностью убить процесс, которому принадлежит порт. Затем, через минуту или две, порт снова станет доступным для использования. Вот что происходит (если вам все равно, перейдите к концу, где я покажу вам, как убить процесс, владеющий определенным портом):
Порты - это ресурсы, выделяемые ОС различным процессам. Это похоже на запрос ОС к указателю файла. Однако, в отличие от файловых указателей, порт может иметь только ОДИН процесс за раз. Через интерфейс сокета BSD процессы могут сделать запрос на прослушивание порта, который ОС затем предоставит. ОС также будет следить за тем, чтобы другие процессы не получали такой же порт. В любой момент процесс может освободить порт, закрыв сокет. Затем ОС восстановит порт. В качестве альтернативы, если процесс завершится без освобождения порта, ОС в конечном итоге восстановит порт (хотя это произойдет не сразу: это займет несколько минут).
Теперь то, что вы хотите сделать (просто закрыть порт из командной строки), невозможно по двум причинам. Во-первых, если бы это было возможно, это означало бы, что один процесс мог просто украсть ресурс другого процесса (порт). Это было бы плохой политикой, если не ограничено привилегированными процессами. Вторая причина заключается в том, что неясно, что произойдет с процессом, которому принадлежит порт, если мы позволим ему продолжить работу. Код процесса написан в предположении, что он владеет этим ресурсом. Если бы мы просто убрали его, он сам бы закончился сбоем, поэтому ОС не позволяет вам этого делать, даже если вы являетесь привилегированным процессом. Вместо этого вы должны просто убить их.
В любом случае, вот как убить процесс, которому принадлежит определенный порт:
Это выведет строку, соответствующую порту удержания процесса, например:
В этом случае procHoldingPort - это имя процесса, открывшего порт, 4683 - его pid, а 8000 (обратите внимание, что это TCP) - номер порта, который он содержит.
Затем посмотрите в последнем столбце, вы увидите /. Затем выполните это:
Если это не сработает (вы можете проверить, повторно выполнив команду netstat). Сделай это:
В общем, лучше не отправлять SIGKILL, если можете. Вот почему я говорю вам попробовать
kill
раньшеkill -9
. Просто использованиеkill
посылает мягче SIGTERM.Как я уже сказал, для повторного открытия порта все равно потребуется несколько минут, если вы сделаете это. Я не знаю способ ускорить это. Если кто-то другой, я бы хотел это услышать.
источник
unix.tools.port.close(<my port number>)
я бы использовалinit 6
.Фьюзер также может быть использован
Здесь протокол tcp / udp, а portno - номер, который вы хотите закрыть. Например
Больше информации на странице man fuser
источник
fuser
запуска?fuser
находит процесс, использующий порт, и убивает его, но не устраняет тот факт, что сокет не закрыт. 60 секунд и ядро делает это для меня.В качестве альтернативы вы можете использовать iptables:
Это в основном выполняет то, что вы хотите. Это отбросит весь трафик TCP на порт 80.
источник
-j REJECT
для возврата флаг сброса TCP, который затем будет виден моему процессу-владельцу (но только тогда, когда другая сторона попытается это сделать). что-то отправить).Он должен сказать вам, если вы используете apache, «httpd» (это только пример, используйте порт, который ваше приложение использует вместо 80)
или же
источник
Вы могли бы просто узнать, какой процесс открыл сокет, с которым связан порт, и убить этот процесс.
Но вы должны понимать, что если у этого процесса нет обработчика, который деинициализирует все, что он использовал (открытые файлы, сокеты, вилки, вещи, которые могут задерживаться, если не будут закрыты должным образом после завершения), вы бы создали перетащите на производительность системы. Кроме того, сокет будет оставаться открытым, пока ядро не поймет, что процесс был убит. Обычно это занимает около минуты.
Я полагаю, что лучшим вопросом будет: какой порт (принадлежащий к какому процессу) вы хотите остановить?
Если вы пытаетесь положить конец обнаруженному бэкдору или вирусу, то вам следует, по крайней мере, узнать, какие данные передаются взад-вперед, прежде чем уничтожить их. (wireshark хорош для этого) (И имя исполняемого файла процесса, чтобы вы могли удалить его и предотвратить его повторный запуск при перезагрузке) или, если это что-то, что вы установили (например, HTTPD или FTPD или что-то еще), то у вас уже должен быть доступ к сам процесс.
Обычно это будет управляющая программа (HTTPD stop | start или что-то в этом роде). Или, если это системная вещь, вы, вероятно, не должны связываться с ней. Во всяком случае, я подумал, что, поскольку все остальные дают вам угол «как», я должен дать вам предостережения.
источник
Сначала я искал процессы монго и ноды, затем сделал следующее:
После идентификации просто уничтожьте процессы с помощью команды kill.
Наконец, введите
meteor
и он должен снова работать.источник
Вы можете написать скрипт, который модифицирует iptables и перезапускает их. Один скрипт для добавления правила отбрасывания всех пакетов на порт, другой скрипт для удаления указанного правила.
Другие ответы показали вам, как убить процесс, связанный с портом - это может быть не то, что вы хотите. Если вы хотите, чтобы сервер продолжал работать, но для предотвращения соединений с клиентами, то вы хотите заблокировать порт, а не останавливать процесс.
источник
Еще одна проблема: иногда ядру принадлежат сами порты. Я знаю, что NAT-маршрутизация держит некоторые порты открытыми для использования NAT. Вы не можете убить процесс для этого, это ядро, и требуется перенастройка и перезагрузка.
источник
Если вы хотите, чтобы ваш порт был освобожден раньше, вам нужно установить следующее значение:
установить от 60 секунд (по умолчанию) до 1 секунды
источник
Вы можете использовать команду с именем killcx, закрывая соединение без какого-либо процесса, который нужно уничтожить.
источник
Я знаю, что этот ответ, собственно говоря, не отвечает самому вопросу, но, читая его, это может быть важной информацией:
Поведение по умолчанию привязки сокета к порту (и адресу) таково, что когда сокет закрывается из-за внезапного завершения процесса, сокет некоторое время будет оставаться в TIME_WAIT. Это будет означать, что вы не можете немедленно повторно привязаться к этому адресу / порту. Если вы разрабатываете саму систему через стандартный интерфейс сокетов BSD, вы можете (по крайней мере, до некоторой степени) управлять этим поведением с помощью опции сокета SO_REUSEADDR. Это в основном позволит вам снова подключиться к тому же адресу / порту, если сокет находится в состоянии TIME_WAIT. Тем не менее, один сокет на порт!
Однако эту информацию следует использовать только в качестве вспомогательного средства для разработки, поскольку существует причина существования TIME_WAIT в первую очередь, уже объясненная в других ответах.
источник
Если вам не нужен трафик через сокет, но вы хотите сохранить процесс: tcpkill .
Запустит демон прослушивания, который перехватывает и перехватывает весь трафик на этом порту. Очень удобно для тестирования ваших приложений на сетевые расколы.
источник
Вы можете закрыть сокет прослушивания, используя ss :
Где 1234 - номер вашего порта.
ss является частью пакета iproute2, поэтому есть серьезные изменения, которые уже установлены в современном Linux.
Я узнал об этом из ответа на связанный вопрос .
источник