Linux如何查看服务监听的端口-linux运维-PHP中文网

答案：使用netstat、ss或lsof命令可查看Linux服务监听的端口。ss -tulpn是首选，因性能优于netstat；lsof -i :端口号可查特定端口占用；需排查防火墙、绑定地址错误等问题确保服务可访问。

linux如何查看服务监听的端口

在Linux系统里，想知道某个服务监听了哪些端口，或者哪些端口正在被使用，最直接的办法就是利用

netstat

登录后复制

、

ss

登录后复制

或

lsof

登录后复制

这几个命令。它们能帮你清晰地列出当前系统所有活跃的网络连接、监听端口及其对应的进程信息。

解决方案

要查看Linux系统服务监听的端口，我们可以主要依赖三个命令：

netstat

登录后复制

、

ss

登录后复制

和

lsof

登录后复制

。

使用

netstat

登录后复制

命令：

netstat

登录后复制

是一个历史悠久且功能强大的网络工具，用于显示网络连接、路由表、接口统计等。要查看监听的TCP和UDP端口及其对应的进程信息，我通常会这样用：

netstat -tulpn

登录后复制

这里

-t

登录后复制

表示TCP连接，

-u

登录后复制

表示UDP连接，

-l

登录后复制

表示只显示监听状态的端口（Listening），

-p

登录后复制

表示显示进程ID和进程名称，

-n

登录后复制

表示以数字形式显示地址和端口，避免进行DNS查找，这样会更快。输出通常会包含协议（Proto）、接收队列（Recv-Q）、发送队列（Send-Q）、本地地址（Local Address）、外部地址（Foreign Address）、状态（State）、PID/程序名称（PID/Program name）。通过本地地址和PID，你就能知道哪个服务在哪个端口上监听。

使用

ss

登录后复制

命令：

ss

登录后复制

是

netstat

登录后复制

的现代替代品，它更快、更高效，尤其是在处理大量连接时。它从Netlink套接字获取信息，而不是解析

/proc

登录后复制

文件系统，所以性能更好。

ss -tulpn

登录后复制

这个命令的选项和

netstat

登录后复制

的非常相似，含义也基本一致。在大多数现代Linux发行版上，我个人更推荐使用

ss

登录后复制

。它的输出格式和

netstat

登录后复制

类似，但通常更简洁，也提供了更多高级过滤选项。

使用

lsof

登录后复制

命令：

lsof

登录后复制

(list open files) 不仅仅能列出打开的文件，也能列出网络连接。它的强大之处在于，你可以通过文件描述符的角度去查看系统资源。

lsof -i -P -n

登录后复制

这里

-i

登录后复制

表示列出所有网络文件，

-p

登录后复制

表示不将端口号转换成服务名（比如80端口不会显示成http），

-n

登录后复制

表示不将IP地址转换成主机名。如果你想查看特定端口，比如8080端口被哪个进程占用，可以这样：

lsof -i :8080

登录后复制

lsof

登录后复制

的输出会包含进程名（COMMAND）、PID、用户（USER）、文件描述符（FD）、文件类型（TYPE）、设备（DEVICE）、大小/偏移量（SIZE/OFF）、节点（NODE）以及名称（NAME），其中NAME部分会显示监听的IP地址和端口。

如何查看特定服务或进程占用的端口？

在日常维护中，我们经常需要定位某个特定服务或进程正在使用哪个端口，或者反过来，某个端口被哪个进程占用了。这其实是上述命令的进阶用法。

通过进程名查找： 假设你想知道

nginx

登录后复制

服务占用了哪些端口。你可以先找到

nginx

登录后复制

的进程ID（PID），然后再用

netstat

登录后复制

或

ss

登录后复制

过滤。

找到进程ID：
```
ps aux | grep nginx
```
登录后复制
这会列出所有包含 "nginx" 关键字的进程。通常你会看到一个主进程和几个工作进程。记下主进程的PID。
过滤端口： 如果你找到了
```
nginx
```
登录后复制
的PID，比如是
```
12345
```
登录后复制
，那么可以这样：
```
ss -tulpn | grep 12345
```
登录后复制
或者
```
lsof -i -P -n | grep 12345
```
登录后复制
这样就能精确地看到
```
nginx
```
登录后复制
进程监听的所有端口了。当然，更直接的方式是直接用
```
grep
```
登录后复制
过滤进程名，比如
```
ss -tulpn | grep nginx
```
登录后复制
，但要注意，这可能会匹配到进程名中含有 "nginx" 的其他进程，用PID会更准确。

通过端口号查找： 如果你发现某个端口被占用了，想知道是谁占用的，比如端口是

登录后复制

：

ss -tulpn | grep :8080

登录后复制

netstat -tulpn | grep :8080

登录后复制

lsof -i :8080

登录后复制

这些命令都会直接显示占用

登录后复制

端口的进程信息，包括其PID和进程名。这对于排查端口冲突问题特别有用。我个人在遇到端口被占用而服务启动失败时，

lsof -i :<port>

登录后复制

几乎是我的首选。

为什么我的服务明明启动了，却无法通过端口访问？

这是一个非常常见且让人头疼的问题。服务看起来启动成功了，日志也正常，但就是从外部访问不到。这背后往往不是一个单一原因，需要我们逐一排查。

防火墙规则： 这是最常见的原因之一。Linux系统通常都开启了防火墙（如
```
firewalld
```
登录后复制
、
```
ufw
```
登录后复制
或
```
iptables
```
登录后复制
）。即使你的服务在本地监听了端口，防火墙也可能阻止外部连接。
- 检查防火墙状态： 对于
```
firewalld
```
  登录后复制
  ：
```
sudo firewall-cmd --state
```
  登录后复制
  和
```
sudo firewall-cmd --list-all
```
  登录后复制
  对于
```
ufw
```
  登录后复制
  ：
```
sudo ufw status
```
  登录后复制
  对于
```
iptables
```
  登录后复制
  ：
```
sudo iptables -L -n
```
  登录后复制
- 开放端口： 你需要根据你的防火墙类型，开放服务监听的端口。
```
firewalld
```
  登录后复制
  示例：
```
sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
```
  登录后复制
  然后
```
sudo firewall-cmd --reload
```
  登录后复制
```
ufw
```
  登录后复制
  示例：
```
sudo ufw allow 8080/tcp
```
  登录后复制
  我遇到过太多次，服务开发者觉得程序没问题，结果是运维同事忘记开防火墙端口了。
服务绑定地址错误： 服务可能没有绑定到正确的网络接口上。如果服务只绑定到
```
127.0.0.1
```
登录后复制
(localhost)，那么它就只能从本机访问，外部网络是无法连接的。要让服务能够从外部访问，它通常需要绑定到
```
0.0.0.0
```
登录后复制
(所有可用接口) 或者特定的公共IP地址。你可以通过
```
ss -tulpn
```
登录后复制
或
```
netstat -tulpn
```
登录后复制
的输出，查看
```
Local Address
```
登录后复制
列。如果显示的是
```
127.0.0.1:8080
```
登录后复制
，那么问题就在这里。你需要修改服务的配置文件，让它监听
```
0.0.0.0
```
登录后复制
或服务器的公共IP。
服务配置错误： 有时候，服务启动时可能加载了错误的配置文件，或者配置文件中的监听端口与你预期的不符。例如，你以为服务在
```
8080
```
登录后复制
端口监听，但实际上它被配置成了
```
8000
```
登录后复制
。仔细检查服务本身的日志输出，以及其配置文件（如
```
nginx.conf
```
登录后复制
、
```
apache2.conf
```
登录后复制
、
```
application.properties
```
登录后复制
等），确认监听端口是否正确。
SELinux/AppArmor 限制： 在一些安全性要求较高的系统上，SELinux 或 AppArmor 可能会阻止服务在特定端口上监听，即使防火墙允许。虽然这种情况相对少见，但如果以上方法都无效，可以考虑检查这些安全模块的日志。对于SELinux，你可以查看
```
sudo ausearch -c <service_name> --raw | audit2allow -l
```
登录后复制
来获取潜在的拒绝信息。

netstat

登录后复制

和

ss

登录后复制

命令有什么区别，我应该用哪个？

netstat

登录后复制

和

ss

登录后复制

都是用来显示网络连接、路由表和网络接口统计信息的命令，但它们之间存在显著的技术和性能差异。

讯飞听见

讯飞听见依托科大讯飞的语音识别技术，为用户提供语音转文字、录音转文字等服务，1小时音频最快5分钟出稿，高效安全。

105

查看详情

netstat

登录后复制

：

历史悠久：
```
netstat
```
登录后复制
是Linux/Unix系统上一个非常老牌的工具，几乎在所有系统上都能找到。
数据源： 它通过读取
```
/proc/net/tcp
```
登录后复制
、
```
/proc/net/udp
```
登录后复制
等文件来获取网络连接信息。这些文件是
```
/proc
```
登录后复制
文件系统的一部分。
性能： 在系统有大量网络连接时（比如一个繁忙的Web服务器），
```
netstat
```
登录后复制
解析这些文本文件会变得相对缓慢，消耗更多的CPU和内存资源。它的效率问题在现代高并发环境下尤为突出。
功能： 提供了全面的网络信息，包括路由表、接口统计等，不仅仅是端口监听。

ss

登录后复制

：

现代工具：
```
ss
```
登录后复制
是
```
iproute2
```
登录后复制
工具集的一部分，被设计为
```
netstat
```
登录后复制
的更高效替代品。它在大多数现代Linux发行版中都已成为默认。
数据源：
```
ss
```
登录后复制
直接通过 Netlink Socket 与内核通信，获取网络连接信息。Netlink 是一种比
```
/proc
```
登录后复制
文件系统更高效、更结构化的内核-用户空间通信机制。
性能： 由于其高效的数据获取方式，
```
ss
```
登录后复制
在处理大量网络连接时表现出显著的性能优势，速度更快，资源消耗更少。
功能： 专注于显示套接字统计信息，提供了比
```
netstat
```
登录后复制
更丰富的过滤选项和更详细的TCP连接状态信息。例如，它可以显示TCP窗口大小、拥塞控制算法等。

我应该用哪个？ 我的建议是：在大多数情况下，优先使用

ss

登录后复制

。

如果你使用的是现代Linux系统，
```
ss
```
登录后复制
是更优的选择，因为它更快、更高效，并且提供了更详细的信息。
如果你在一个老旧的系统上工作，或者
```
ss
```
登录后复制
命令不可用（虽然现在很少见），那么
```
netstat
```
登录后复制
仍然是一个可靠的备用方案。
对于日常的快速检查，两者的常用选项
```
-tulpn
```
登录后复制
输出结果非常相似，都能满足需求。但一旦涉及到性能分析或者需要更深入的连接细节，
```
ss
```
登录后复制
的优势就体现出来了。