Хочу статистику по портам ip для приложения

Собрать трафик при помощи какого-нибудь netflow и подсчитать.

на каких портах udp/tcp ipv4/ipv6 приложения больше трафика

Я не понял, что ты хочешь подсчитать.
Может тебе нужно что-то типа ntop?

Если в моменте, то можно iftop. Там можно было включать вывод по портам

Похоже на то что нужно, но не смог разобраться как только для одного процесса отобразить и аккумулировать.

https://github.com/GyulyVGC/sniffnet сам не пробовал, но посмотри может тебе подойдет

iftop похоже только tcp отображает, а у меня udp в основном.

Хочу узнать на каких портах udp/tcp ipv4/ipv6 приложения больше трафика. Как это сделать?

ipt_netflow, приложение от отдельного пользователя и правило для этого пользователя. Как-то так видится. И лить в nfdump.

Что делать со входящими udp-пакетами?
tcp работает с sysctl -w net.ipv4.tcp_early_demux=1, а udp c sysctl -w net.ipv4.udp_early_demux=1 не работает.
Так что у нас одна беда - входящие udp пакеты никак не идентифицировать. __udp4_lib_demux_lookup никогда не работал нормально :(

Я когда-то это чинил.
Если приложение загнать в группу (cgroup v2), то tcp и udp трафик можно идентифицировать и загнать его в ipt_netflow.
Есть вариант с ipset hash:ip,port со счетчиками вместо ipt_netflow.

Чушь. iftop отображает и udp и tcp