我在中央路由器上运行防火墙。最近,有几个用户想使用 Skype。由于对 Skype 进行防火墙实际上意味着关闭防火墙,因此我考虑允许用户暂时为其系统打洞。由于用户在路由器上没有帐户,因此我考虑使用 Kerberos 进行身份验证和授权。
该路由器是一个 Debian Squeeze 盒,具有最低限度的配置,即没有网络服务器、数据库或类似的噱头。
有谁知道现有的解决方案可用于此目的吗?或者有谁知道易于使用且文档齐全的框架,比如 Perl、Python、C、C++ 等,使得 Kerberos 身份验证的客户端和服务器应用程序的设置变得非常简单?
答案1
您可以使用UPNPD守护进程按需打开端口。某些守护进程(例如)miniupnpd将构建限制性规则,仅向请求服务器打开端口。守护进程将通过维护几个链中的规则来调整您的 iptables 防火墙。
我调查了防火墙 Google Chat 和 Skype我发现 Skype 的设计无法很好地应对防火墙限制。每个用户都需要一个转发到其设备的传入端口。每个连接都需要额外的端口。但是,使用 Skype 时无需关闭防火墙。除了每个用户的传入端口外,您还需要在正在使用的设备的临时端口上启用传出连接。传入限制可能非常严格。
通过在配置文件中添加所需的链,我能够miniupnpd使用 Shorewall 防火墙start。