有个想法，但不知道怎么实施，请朋友们指教~

我是电力系统内部网的用户，原来我在自己科室开了个WEB，人气很旺，可以说是浙江最旺的了（内部），但2个月前，我们单位的网管封锁了我们的地区的内部网只给领导开了IP，现在我用领导的IP可以出去或到内部网的其他地区，但是内网的其他地区的人却进不来，后来发现是我们单位的网管在防火墙里进行了只能单向发起连接的设置了。考虑TCP发起连接的原理是查看其头部的SYN/ACK位的标志的。所以我想搞个从底层过滤修改标志位的程序，把别的地区的内网用户发起连接的TCP头部的SYN/ACK位用另一个保留位来替换了，到了我这头再同样搞个底层程序读取保留位来还原SYN/ACK位标志。
在安全焦点别人介绍说用DDK中的passthru可以做到，叫我自己好好研究。但是我看了2天，虽然对各种术语熟悉了一半，但总的还是不大懂的，我不是一个正式的程序员，因为我有很多别的工作呀，所以我想来这里请大家帮我解释一下passthru的原理以及miniport的原理，看了这个程序，发现需要对一些内存页操作才可以读出桢呀，可是这样我又要去研究如何读取内存页来组成整个帧了，好麻烦呀。我该如何做呢，请大家教我个简单的方法呀，比如指出在passthru的哪个函数里加哪类程序什么的。DDK里有个packet.sys的，看来好象也是可以修改它来替代2000系统的packet.sys来过滤包的，但是好象只在2000下用，而基于miniport的passthru在帮助里说是可以在98，2000里都可以用的，而且帮助文档里常提到“packet filer”，让我见了好兴奋，呵呵。所以我想还是请你们帮我主攻passthru比较好，当然如果哪位朋友说packet.sys也不错的话，我一定会照着试试的。先谢谢了~~~，以后我会成为这里的常客的。