порты

Как вариант - сказать фаерволлу, чтобы писал информацию о таких соединениях в лог. В случае использования ipchains это будет выглядеть примерно так:

ipchains --append output --protocol tcp --syn --log --jump ACCEPT

И потом в /var/log/messages смотри, какие соединения были. Но это для TCP, для этого протокола отследить установление соединений легко, поскольку пакет, устанавливающий соединение, отличается от остальных. Для UDP так не выйдет - если писать всё в лог, то лог получится слишком большим... Для UDP возможен обратный вариант - запретить все пакеты этого типа, и тоже смотреть, что записалось в лог, что перестало работать, но это если пользователи не возмутятся... Да, лучше сразу разрешить работу DNS - и так понятно, что нужен :-)