<div class="gmail_quote">On Mon, Nov 2, 2009 at 10:57 AM, ken <span dir="ltr"><<a href="mailto:gebser@mousecar.com">gebser@mousecar.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">On 11/02/2009 09:36 AM Rob Kampen wrote:<br>
> ken wrote:<br>
>> On 10/31/2009 04:10 AM Tony Molloy wrote:<br>
>><br>
>>> On Saturday 31 October 2009 07:48:05 hadi motamedi wrote:<br>
>>><br>
>>>> Dear All<br>
>>>> To open a port , I know that I need to go to "System -><br>
>>>> Administration -><br>
>>>> Security Level and Firewall" -> Other ports and then I can open<br>
>>>> port-5901<br>
>>>> as tcp protocol . Can you please do me favor and let me know how it<br>
>>>> can be<br>
>>>> done from the command line (if my CentOS is text-mode installed) ?<br>
>>>> (perhaps<br>
>>>> via iptables?)<br>
>>>> Let me thank you in advance<br>
>>>><br>
>>> Edit /etc/sysconfig/iptables<br>
>>><br>
>>> Restart iptables with service iptables restart<br>
>>><br>
>>> Tony<br>
>>><br>
>><br>
>> My /etc/sysconfig/iptables states at the top that editing of it is not<br>
>> recommended.  Yeah, I don't always follow such recommendations myself,<br>
>> but is there perhaps another way more in keeping with the sense of the<br>
>> application?<br>
>><br>
</div><div class="im">> Yeah, editing directly can be risky, nothing worse than making a change<br>
> only to find that access to your server just disappeared and you need to<br>
> get in front of it to reset via the console....<br>
> I use webmin for most of my edits, only make it accessible from the LAN<br>
> and not the WAN. You can always tunnel the :10000 port via ssh and<br>
> access securely from a remote location.<br>
> The webmin console is left open while I test, thus I have not yet<br>
> tripped up on this though I can imagine it is not fool proof.<br>
> HTH<br>
> Rob<br>
<br>
</div>Rob,<br>
<br>
Sounds like you've thought through the process and have a well-planned<br>
strategy for failure-prevention.  Cool.<br>
<br>
I checked my port 10000 (ssh -p 10000 ...) and found it not available<br>
("Connection refused").  So in what sense, or how, can I always tunnel it?<br>
<br>
tnx.<br></blockquote><div><br> You can use iptables to insert and delete rules in the running instance, and after testing you can save the new set up.<br><br>The syntax is:<br><br>iptables -I  $TABLE_NAME $POS -s $SRC_IPS -m state --state NEW -p tcp --dport 5901 -j ACCEPT<br>
<br>The default TABLE_NAME is "RH-Firewall-1-INPUT" for CentOS<br><br>You can figure out the POS you want by running <br><br>iptables -L <br>which dumps the rules on the screen<br><br>The SRC_IPS are the machine(s) you want to grant access to.<br>
<br>If you mess up, you can just restart iptables and you'll be back to where you were. These changes are not permanent. If you're working remotely, you can set up a cron job to restart iptables at some sensible interval so you won't be locked out until you have physical access to the machine. <br>
<br>Once you're satisfied the new rules are working right, you can use the iptables script in /etc/init.d to save the new config.  And don't forget to get rid of the cron job above.<br><br>Take a look at iptables-restore and iptables-save, too. <br>
 <br>Barry<br><br><br></div></div><br>