Eu uso ss -p para ver informações de soquetes TCP. Mas as informações do processo não são impressas para alguns soquetes. Abaixo:
$ ss -p4
State Recv-Q Send-Q Local Address:Port Peer Address:Port
ESTAB 0 0 10.146.18.213:50368 199.7.59.72:http
Mas com o sudo, consigo ver as informações do processo:
$ sudo ss -p4
State Recv-Q Send-Q Local Address:Port Peer Address:Port
ESTAB 0 0 10.146.18.213:50368 199.7.59.72:http users:(("sshd",473,18))
Com netstat -net , sem raiz, consigo ver o usuário:
$ netstat -net
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode
tcp 0 0 10.146.18.213:50368 199.7.59.72:80 ESTABLISHED 222 3693189
Meu ID de usuário é 222:
$ id -u
222
Mas o ss mostra informações do processo apenas com o root.
Minhas perguntas são:
owner do iptables? Eu diria que o seu "sudo ss" mostra conexão relacionada ao usuário sshd, enquanto isso "netstat -net" - para seu próprio usuário. É por isso que a versão do netstat não requer sudo para descobrir os detalhes relativos ao soquete.
Você também pode usar ss -e para obter o UID.
Tags networking iptables tcp socket