
<div class="gmail_quote">On Mon, Nov 2, 2009 at 10:57 AM, ken <span dir="ltr"><<a href="mailto:gebser@mousecar.com">gebser@mousecar.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<div class="im">On 11/02/2009 09:36 AM Rob Kampen wrote:<br>

> ken wrote:<br>

>> On 10/31/2009 04:10 AM Tony Molloy wrote:<br>

>><br>

>>> On Saturday 31 October 2009 07:48:05 hadi motamedi wrote:<br>

>>><br>

>>>> Dear All<br>

>>>> To open a port , I know that I need to go to "System -><br>

>>>> Administration -><br>

>>>> Security Level and Firewall" -> Other ports and then I can open<br>

>>>> port-5901<br>

>>>> as tcp protocol . Can you please do me favor and let me know how it<br>

>>>> can be<br>

>>>> done from the command line (if my CentOS is text-mode installed) ?<br>

>>>> (perhaps<br>

>>>> via iptables?)<br>

>>>> Let me thank you in advance<br>

>>>><br>

>>> Edit /etc/sysconfig/iptables<br>

>>><br>

>>> Restart iptables with service iptables restart<br>

>>><br>

>>> Tony<br>

>>><br>

>><br>

>> My /etc/sysconfig/iptables states at the top that editing of it is not<br>

>> recommended.  Yeah, I don't always follow such recommendations myself,<br>

>> but is there perhaps another way more in keeping with the sense of the<br>

>> application?<br>

>><br>

</div><div class="im">> Yeah, editing directly can be risky, nothing worse than making a change<br>

> only to find that access to your server just disappeared and you need to<br>

> get in front of it to reset via the console....<br>

> I use webmin for most of my edits, only make it accessible from the LAN<br>

> and not the WAN. You can always tunnel the :10000 port via ssh and<br>

> access securely from a remote location.<br>

> The webmin console is left open while I test, thus I have not yet<br>

> tripped up on this though I can imagine it is not fool proof.<br>

> HTH<br>

> Rob<br>

<br>

</div>Rob,<br>

<br>

Sounds like you've thought through the process and have a well-planned<br>

strategy for failure-prevention.  Cool.<br>

<br>

I checked my port 10000 (ssh -p 10000 ...) and found it not available<br>

("Connection refused").  So in what sense, or how, can I always tunnel it?<br>

<br>

tnx.<br></blockquote><div><br> You can use iptables to insert and delete rules in the running instance, and after testing you can save the new set up.<br><br>The syntax is:<br><br>iptables -I  $TABLE_NAME $POS -s $SRC_IPS -m state --state NEW -p tcp --dport 5901 -j ACCEPT<br>

<br>The default TABLE_NAME is "RH-Firewall-1-INPUT" for CentOS<br><br>You can figure out the POS you want by running <br><br>iptables -L <br>which dumps the rules on the screen<br><br>The SRC_IPS are the machine(s) you want to grant access to.<br>

<br>If you mess up, you can just restart iptables and you'll be back to where you were. These changes are not permanent. If you're working remotely, you can set up a cron job to restart iptables at some sensible interval so you won't be locked out until you have physical access to the machine. <br>

<br>Once you're satisfied the new rules are working right, you can use the iptables script in /etc/init.d to save the new config.  And don't forget to get rid of the cron job above.<br><br>Take a look at iptables-restore and iptables-save, too. <br>

 <br>Barry<br><br><br></div></div><br>