<html><body><div>Hi Igor, Muhammad,<br><br>The output from Igor's netstat shows that Pluto is listening on port 3082, and at the same time receiving SYN packets from localhost on ports 44259 upwards..&nbsp; (quite why i'm not sure)&nbsp; This explains the additional processes spawned from the main pluto process.<br><br><strong>My</strong> own Openswan ipsec config on my Centos5.x box shows Pluto listening on port 4500 (which is default) along with port 500 for IKE/phase 1 auth<br><br>[root@fcs01 ~]# netstat -npa|grep plu<br>udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 127.0.0.1:4500&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0.0.0:*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3806/pluto<br>udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 10.23.50.68:4500&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0.0.0:*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3806/pluto<br>udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 10.49.73.1:4500&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0.0.0:*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3806/pluto<br>udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 127.0.0.1:500&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0.0.0:*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3806/pluto<br>udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 10.23.50.68:500&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0.0.0:*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3806/pluto<br>udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 10.49.73.1:500&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0.0.0:*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3806/pluto<br>udp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 ::1:500&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; :::*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3806/pluto<br><br>Igor, I would hazard a guess that someone has edited your config (/etc/ipsec.d/ipsec.conf)&nbsp; <br><br>Are doing port forwarding at your boundary router for IPsec connections and doing NAT by forward packets to your ipsec device/linux host - which is listening on ?<br><br><br><div><blockquote type="cite"><div class="msg-quote"><div class="gmail_quote">On Jul 31, 2012 12:54 AM, "Igor Lasic" &lt;<a href="mailto:ilasic@yahoo.com" data-mce-href="mailto:ilasic@yahoo.com">ilasic@yahoo.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" data-mce-style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;"><div><div>Hello Muhammad, thanks for responding.<br> <br> I am seeing TCP port 3082 opened as in below. We have also tried with port 3081 and got the same result where pluto took it.<br> </div></div></blockquote></div></div></blockquote><span>&nbsp;</span><br>This part is most interesting.....you have a _lot_ of connections coming from localhost to localhost:3082 - since there are sys_received, close_wait and fin_wait packets, it implies that either Apache/httpd is configured to talk to Ipsecd or one of your config's is messed up badly.<br><br>Time to get tcpdump and wireshark out and capture your traffic - first I would check network configs and stop ipsec and see what your apps are doing.<br><br><blockquote type="cite"><div class="msg-quote"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;" data-mce-style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;"><div><div><br> Unfortunately we cannot guarantee the order in which services will start and cannot use other means such as SE security.<br> <br> netstat -nap | grep 3082<br> <strong>tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 <a href="http://0.0.0.0:3082" data-mce-href="http://0.0.0.0:3082">0.0.0.0:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0.0.0.0:*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LISTEN&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <span style="text-decoration: underline;" data-mce-style="text-decoration: underline;">7450</span>/sh</strong><br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:44259" data-mce-href="http://127.0.0.1:44259">127.0.0.1:44259</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SYN_RECV&nbsp;&nbsp;&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:44261" data-mce-href="http://127.0.0.1:44261">127.0.0.1:44261</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SYN_RECV&nbsp;&nbsp;&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:45281" data-mce-href="http://127.0.0.1:45281">127.0.0.1:45281</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SYN_RECV&nbsp;&nbsp;&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 349&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:49980" data-mce-href="http://127.0.0.1:49980">127.0.0.1:49980</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLOSE_WAIT&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 345&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:34400" data-mce-href="http://127.0.0.1:34400">127.0.0.1:34400</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLOSE_WAIT&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 343&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:49530" data-mce-href="http://127.0.0.1:49530">127.0.0.1:49530</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CLOSE_WAIT&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp; 345 <a href="http://127.0.0.1:44259" data-mce-href="http://127.0.0.1:44259">127.0.0.1:44259</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; FIN_WAIT1&nbsp;&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp; 329 <a href="http://127.0.0.1:44261" data-mce-href="http://127.0.0.1:44261">127.0.0.1:44261</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; FIN_WAIT1&nbsp;&nbsp; -<br> tcp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp; 329 <a href="http://127.0.0.1:45281" data-mce-href="http://127.0.0.1:45281">127.0.0.1:45281</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://127.0.0.1:3082" data-mce-href="http://127.0.0.1:3082">127.0.0.1:3082</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ESTABLISHED 25856/httpd<br> <br> root@lang-armagent-2a ~]# ps -ef | grep 7450<br> root&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <span style="text-decoration: underline;" data-mce-style="text-decoration: underline;"><strong>7450&nbsp;&nbsp;&nbsp;&nbsp; </strong></span>1&nbsp; 0 Jul23 ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 00:00:00<span style="text-decoration: underline;" data-mce-style="text-decoration: underline;"><strong> /bin/sh /usr/lib64/ipsec/_plutorun </strong></span>--debug&nbsp; --uniqueids yes --force_busy no --nocrsend no --strictcrlpolicy no --nat_traversal yes --keep_alive&nbsp; --protostack netkey --force_keepalive no --disable_port_floating no --virtual_private %v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12" data-mce-href="http://10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12">10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12</a> --listen&nbsp; --crlcheckinterval 0 --ocspuri&nbsp; --nhelpers&nbsp; --secctx_attr_value&nbsp; --dump&nbsp; --opts&nbsp; --stderrlog&nbsp; --wait no --pre&nbsp; --post&nbsp; --log daemon.error --plutorestartoncrash true --pid /var/run/pluto/pluto.pid<br> root&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 7452&nbsp; 7450&nbsp; 0 Jul23 ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 00:00:00 /bin/sh /usr/lib64/ipsec/_plutorun --debug&nbsp; --uniqueids yes --force_busy no --nocrsend no --strictcrlpolicy no --nat_traversal yes --keep_alive&nbsp; --protostack netkey --force_keepalive no --disable_port_floating no --virtual_private %v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12" data-mce-href="http://10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12">10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12</a> --listen&nbsp; --crlcheckinterval 0 --ocspuri&nbsp; --nhelpers&nbsp; --secctx_attr_value&nbsp; --dump&nbsp; --opts&nbsp; --stderrlog&nbsp; --wait no --pre&nbsp; --post&nbsp; --log daemon.error --plutorestartoncrash true --pid /var/run/pluto/pluto.pid<br> root&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 7455&nbsp; 7450&nbsp; 0 Jul23 ?&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 00:00:00 /bin/sh /usr/lib64/ipsec/_plutoload --wait no --post<br> root&nbsp;&nbsp;&nbsp;&nbsp; 28674&nbsp; 3185&nbsp; 0 22:39 pts/0&nbsp;&nbsp;&nbsp; 00:00:00 grep 7450<br> <br> On 7/30/2012 6:29 PM, Muhammad El-Sergani wrote:<br></div><blockquote type="cite"><p>Hello Igor, what's that port number?<br> This shouldn't happen I believe.</p><p>Sent from my Galaxy Tab</p><div class="gmail_quote">On Jul 31, 2012 12:28 AM, "Igor Lasic" &lt;<a href="mailto:ilasic@yahoo.com" data-mce-href="mailto:ilasic@yahoo.com">ilasic@yahoo.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex" data-mce-style="margin: 0 0 0 .8ex; border-left: 1px #ccc solid; padding-left: 1ex;"><div>Hello everyone,<br> <br> I have a problem where openswan ipsec opens out a TCP port when it starts that conflicts with our web service;.<br> <br> It appears the TCP port is not fixed as we've attempted to use a different port and ipsec service still showed up as listening on that port.<br> <br> Anyone know what is the port used for and can the port be configured or can the "feature" be disabled?<br> <br> Thanks,<br> <br> Igor<br> <br> <span style="font-size: small;" data-mce-style="font-size: small;" size="3"><span style="color: #909090;" data-mce-style="color: #909090;" color="#909090"><br> </span></span></div><br></blockquote></div></blockquote></div></blockquote></div></div></blockquote></div><br></div></body></html>