我在中央路由器上运行防火墙。 最近有几个用户想使用Skype。 由于Skype防火墙实际上意味着closures防火墙,因此我认为允许用户暂时为系统打孔。 由于用户在路由器上没有帐户,我考虑使用Kerberos进行身份validation和授权。
路由器是一个Debian Squeeze盒子,configuration最less,即没有networking服务器,数据库或类似的噱头。
有没有人知道现有的解决scheme,可以用于这个目的? 还是有人知道易于使用和良好的文档说明的Perl,Python,C,C ++等框架…使Kerberosauthentication的客户端和服务器应用程序的设置非常简单?
您可以使用UPNPD守护程序按需打开端口。 一些守护进程(如miniupnpd将构build限制性规则,这些规则仅向请求服务器打开端口。 守护进程将通过维护几条链中的规则来调整您的iptables防火墙。
我调查了防火墙Google聊天和Skype 。 我发现Skype的devise不适合防火墙限制。 每个用户需要一个传入端口转发到他们的设备。 每个连接都需要额外的端口。 但是,没有必要closures防火墙来使用Skype。 除了每个用户的传入端口之外,您还需要在正在使用的设备的临时端口上启用传出连接。 传入的限制可能非常严格。
通过在startconfiguration文件中添加所需的链,我能够使用Shorewall防火墙来获得miniupnpd 。