Openfire内置了包过滤插件PacketFilter,这个插件可以定义一系列过滤消息包的规则,可以指定接收、拒收、反弹来自或发至某个用户、组、组件或任意端点的消息。
当在PacketFilter中定义了多个过滤规则时,PacketFilter按照以下规则处理:
1. 从规则集中提取所有规则;
2. 按照规则集定义的顺序逐个匹配规则:
2.1 若匹配到某个规则,则指定该规则规定的动作(接收、拒收、反弹),随后不再处理剩余的其他规则;
2.2 否则,继续试图匹配下一个规则,直到找到一个匹配的规则,执行2.1的动作。
也就是说,PacketFilter从第一个过滤规则开始,一旦找到可以匹配的规则,就会抛弃所有其他的规则。
例如:由于防止涉密信息被扩散,想要规定openfire只接受来自应用系统的通知消息,而屏蔽所有的用户之间的会话,则可以这样设定规则:
1. 创建“应用系统”用户组,将所有的应用系统通知帐号全部放入该组中;
2. 在PacketFilter中创建规则1:pass,from group 应用系统,to any。这条规则允许所有来自应用系统的通知消息可以送达所有IM客户端;
3. 在PacketFilter中创建规则2:Drop,from any,to any。这条规则禁止任何互相传递的IM消息。
注意:规则1和规则2的顺序不能弄反。
PacketFilter在过滤消息报文时,首先匹配规则1:如果消息来自应用系统组中的帐号,则该消息被传递给目的端点;如果消息来自其他组的帐号,则规则1匹配失败,PacketFilter会继续匹配下一条规则,即规则2。由于规则2是全范围约束,因此一定会匹配成功,则这条消息报文被抛弃。这样就满足了前面的需求。