ss e netstat mostram conexões terminadas nesse host, ou seja, conexões de saída criadas por um processo no host ou conexões de entrada tratadas por um processo no host. (Tecnicamente, eles mostram soquetes.) conntrack mostra conexões conhecidas pelo sistema de rastreamento de conexão, que inclui conexões sendo roteadas, mas não terminadas por esse host. (Sockets não existem para conexões apenas sendo roteadas).