Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     

    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     

    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)
    • Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    Один черт без MASQUERADE не работает
    ну, конечно не работает. У Вас всё в кучу смешалось, люди, кони...

    Цитата:
    Вообще нет никакого вывода
    эм... Ну а что же тогда делали указанные команды ip rule add и ip route add?
     
    Давайте вернёмся к тем настройкам которые сейчас обсуждаем — http://forum.ru-board.com/topic.cgi?forum=8&topic=38463&start=520#14
     
    ИТОГО:
     - Есть VPS на которой настроен _ТОЛЬКО_ DNAT с внешнего ip:port на ip:port Debian NAS доступного через wg туннель;
     - Есть Debian NAS на котором настроен wg-туннель к VPS (что там Keenetic посредине нас это не касается);
     
    Что бы ответ пришёдший через VPS на NAS мог вернёться назад должно быть сделано одно или оба условия описанных в посте, а именно:
     - маскарад пакетов летящих от VPS к NAS по wg туннелю;
     - ответ в wg канал на VPS если запрос пришёл оттуда (без маркировки, чисто на созданном сокете);
     

    Цитата:
        echo 200 wg >> /etc/iproute2/rt_tables
        ip rule add from 10.8.1.5 table wg prio 1
        ip route add default via 10.8.1.1 dev WG-Cl-Amigo table wg
    Работает о root'а на Debian NAS. Что-то Вы там перемудрили или не донастроили. Давайте проверим всё по порядку:
    1. есть запись в /etc/iproute2/rt_tables файле (это не обязательно и лишь позволяет задать имя нашей таблице маршрутизации)
    2. есть правило в вывод ip ru — его я уже видел 1:      from 10.8.1.5 lookup wg
    3. есть запись в таблице маршрутизации номер 200 (aka wg): а вот этой записи Вы говорите что нет. Правило маршрутизации удаляется если исчезает интерфейс для которого оно было прописано. Т.е. команду ip route add default via 10.8.1.1 dev WG-Cl-Amigo table wg[ нужно писать _КАЖДЫЙ_ раз после поднятия VPN туннеля. А вот ip rule add достаточно один раз после загрузки машины.
     
    Автоматизация:
    В секцию [Interface] можно дописать
    Код:
    Table = 200
    PostUp = ip rule add from 10.8.1.5 table 200 prio 1
    PostUp = ip route add default dev %i table 200
    PostDown = ip rule del from 10.8.1.5 table 200 prio 1


    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 18:06 16-05-2022 | Исправлено: Alukardd, 18:10 16-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    У Вас всё в кучу смешалось, люди, кони...

    Согласен - я уже основательно подзапутался.  
    Добавляет же скрипт - значит мне второу строку точно не нужно добавлять. Но таки не работает - тут я однозначно прав (наверное)
     

    Цитата:
    нужно писать _КАЖДЫЙ_ раз

    так это же другое дело - я же не знал мы с Вами выше про перезагрузку только говорили...
     

    Цитата:
    В секцию [Interface] можно дописать

    Это Вы про конфиг клиента wireguard?
    Да, теперь имеется
    root@NAS-Deb:~# ip r s t wg
    default dev WG-Cl-Amigo scope link
    10.8.1.0/24 dev WG-Cl-Amigo scope link
     
    Но всё равно не работает
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 18:47 16-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Возвращаемся на VPS
     
    iptables-save, пожалуйста.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 19:13 16-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    iptables-save, пожалуйста

    Это когда 3.18 работает

    Код:
    root@vpn:~# iptables-save
    # Generated by iptables-save v1.6.0 on Tue May 17 07:18:50 2022
    *filter
    :INPUT ACCEPT [756497:567322403]
    :FORWARD ACCEPT [2445:390247]
    UTPUT ACCEPT [800038:157386324]
    :f2b-sshd - [0:0]
    -A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
    -A FORWARD -s 10.8.1.0/24 -d 10.8.1.0/24 -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -i wg0 -o eth0 -j ACCEPT
    -A FORWARD -d 10.8.1.0/24 -i eth0 -o wg0 -j ACCEPT
    -A FORWARD -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -d 10.8.1.0/24 -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -i wg0 -o eth0 -j ACCEPT
    -A FORWARD -d 10.8.1.0/24 -i eth0 -o wg0 -j ACCEPT
    -A FORWARD -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -d 10.8.1.0/24 -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -i wg0 -o eth0 -j ACCEPT
    -A FORWARD -d 10.8.1.0/24 -i eth0 -o wg0 -j ACCEPT
    -A FORWARD -i wg0 -o wg0 -j ACCEPT
    -A f2b-sshd -s 64.225.72.213/32 -j REJECT --reject-with icmp-port-unreachable
    -A f2b-sshd -s 159.223.47.233/32 -j REJECT --reject-with icmp-port-unreachable
    -A f2b-sshd -j RETURN
    COMMIT
    # Completed on Tue May 17 07:18:50 2022
    # Generated by iptables-save v1.6.0 on Tue May 17 07:18:50 2022
    *nat
    REROUTING ACCEPT [50:2160]
    :INPUT ACCEPT [48:2040]
    UTPUT ACCEPT [2:168]
    OSTROUTING ACCEPT [5:348]
    -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.3.18:8123
    -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source 11.11.11.11
    -A POSTROUTING -o eth0 -j MASQUERADE
    -A POSTROUTING -o eth0 -j MASQUERADE
    -A POSTROUTING -o eth0 -j MASQUERADE
    COMMIT
    # Completed on Tue May 17 07:18:50 2022

     
     
    Это когда 10.8.1.5 не работает, более 4 минут (два маршрута)

    Код:
    root@vpn:~# iptables-save
    # Generated by iptables-save v1.6.0 on Tue May 17 07:22:41 2022
    *filter
    :INPUT ACCEPT [758018:567594136]
    :FORWARD ACCEPT [2855:553859]
    UTPUT ACCEPT [801459:157577562]
    :f2b-sshd - [0:0]
    -A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
    -A FORWARD -s 10.8.1.0/24 -d 10.8.1.0/24 -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -i wg0 -o eth0 -j ACCEPT
    -A FORWARD -d 10.8.1.0/24 -i eth0 -o wg0 -j ACCEPT
    -A FORWARD -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -d 10.8.1.0/24 -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -i wg0 -o eth0 -j ACCEPT
    -A FORWARD -d 10.8.1.0/24 -i eth0 -o wg0 -j ACCEPT
    -A FORWARD -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -d 10.8.1.0/24 -i wg0 -o wg0 -j ACCEPT
    -A FORWARD -s 10.8.1.0/24 -i wg0 -o eth0 -j ACCEPT
    -A FORWARD -d 10.8.1.0/24 -i eth0 -o wg0 -j ACCEPT
    -A FORWARD -i wg0 -o wg0 -j ACCEPT
    -A f2b-sshd -s 64.225.72.213/32 -j REJECT --reject-with icmp-port-unreachable
    -A f2b-sshd -s 159.223.47.233/32 -j REJECT --reject-with icmp-port-unreachable
    -A f2b-sshd -j RETURN
    COMMIT
    # Completed on Tue May 17 07:22:41 2022
    # Generated by iptables-save v1.6.0 on Tue May 17 07:22:41 2022
    *nat
    REROUTING ACCEPT [4:344]
    :INPUT ACCEPT [4:344]
    UTPUT ACCEPT [0:0]
    OSTROUTING ACCEPT [0:0]
    -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.8.1.5:8123
    -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 10.8.1.5:8123
    -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.3.18:8123
    -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source 11.11.11.11
    -A POSTROUTING -o eth0 -j MASQUERADE
    -A POSTROUTING -o eth0 -j MASQUERADE
    -A POSTROUTING -o eth0 -j MASQUERADE
    COMMIT
    # Completed on Tue May 17 07:22:41 2022
    root@vpn:~#

    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 05:26 17-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Дубли правил кнеч плодить не надо. Я про -t filter FORWARD и -t nat POSTROUTING.
     
    Казалось бы по правилам всё должно работать. Давайте ка для проверки напишем правило для DNAT на Debian NAS через другой порт на VPS.
    iptables -t nat -I PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 10.8.1.5:8123

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 12:01 17-05-2022 | Исправлено: Alukardd, 12:01 17-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Дубли правил кнеч плодить не надо.

    почистил.  
    Почему-то PostDown не всегда срабатывал
     

    Цитата:
    iptables -t nat -I PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 10.8.1.5:8123

    А почему -I, когда мы ранее -А писали?  
    П.с. если честно, у меня и так другой порт, давно сменил, не стал Вас путать  
     
    П.п.с. добавил с -I - не работает, с -А так же не работает
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 13:47 17-05-2022 | Исправлено: i81, 13:52 17-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    А почему -I, когда мы ранее -А писали?  
    Это зависит от того куда мы хотим поместить добавляемое правило. -I — в начало (на самом деле не в начало а на указанную позицию, но по умолчанию на первую), -A в конец. Поэтому в выводе iptables-save, где всё расположено по порядку, всегда только -A.

    Цитата:
    не работает  
    у меня закончились мысли. Кроме того что пока Вы гоняете информацию между двумя машинами и форумом могли что-то напутать у меня нет идей.
     
    Если умеете пользоваться tcpdump'ом то рекомендую с ним посмотреть что происходит. Начать стоит с Debian NAS: tcpdump -ni any tcp port 8123

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 14:09 17-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Если умеете пользоваться tcpdump'ом

    Не приходилось, но попытаюсь понять.

    Цитата:
     Debian NAS: tcpdump -ni any tcp port 8123

    Как-то странно, но никаких запросов с внешнего ip клиента, а так же с 10.8.1.1 нет на Debian NAS
    Как только я включаю VPN на клиенте - тут же трафик начинает идти между wg интерфейсами (хотя обращаюсь по прежнему к внешнему адресу VPS).
    Как только я добавляю правило
    Код:
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

    появляется трафик от 10.8.1.1
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 07:42 18-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
     
    появляется трафик от 10.8.1.1
    ну это логично, но помнится Вы писали что и в такой конфигурации ни чего не работает, т.е. видимо ответы не доходят клиенту, так?

    Цитата:
    Как-то странно, но никаких запросов с внешнего ip клиента, а так же с 10.8.1.1 нет на Debian NAS  
    эм, но куда-то уже они деваются... Можете проделать аналогичные дампы на VPS.
    Ещё на VPS можно посмотреть conntrack таблицу:
    Код:
    apt install conntrack # утилита для работы с conntrack таблицами из user-space
    conntrack -L | grep port=8123

     
    Добавлено:
    Кстати, можно и без установки утилиты, если просто полный dump нужен:
    sudo grep port=8123 /proc/net/nf_conntrack
    Если система старая то файл может называться ip_conntrack а не nf_conntrack

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 10:32 18-05-2022 | Исправлено: Alukardd, 10:45 18-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    но помнится Вы писали что и в такой конфигурации ни чего не работает

    не, как раз таки в этом варианте работает, но не удобно из-за того, что не видно реального ip подключаемого клиента. Вот тут отчитался  
     

    Цитата:
    sudo grep port=8123 /proc/net/nf_conntrack
    Если система старая то файл может называться ip_conntrack а не nf_conntrack

    Похоже у меня очень старая система - оба варианта не работают.
     
     
    root@vpn:~# tcpdump -ni any tcp port 8123 > /home/tcp8123.log
    Пакеты есть, куча разных с двух ip, с корых пробовал
    Пример:

    Код:
    18:16:09.741505 IP 178.178.92.190.34321 > 10.8.1.5.8123: Flags [S], seq 2936737998, win 65535, options [mss 1360,sackOK,TS val 556397005 ecr 0,nop,wscale 8], length 0
    18:16:10.229550 IP 178.178.92.190.14731 > 10.8.1.5.8123: Flags [S], seq 3095126502, win 65535, options [mss 1360,sackOK,TS val 556397494 ecr 0,nop,wscale 8], length 0
    18:16:10.506516 IP 178.178.92.190.23292 > 10.8.1.5.8123: Flags [S], seq 4126859689, win 65535, options [mss 1360,sackOK,TS val 556397782 ecr 0,nop,wscale 8], length 0
    18:16:10.546981 IP 178.178.92.190.16038 > 10.8.1.5.8123: Flags [S], seq 2159577869, win 65535, options [mss 1360,sackOK,TS val 556397818 ecr 0,nop,wscale 8], length 0
    18:16:10.731466 IP 178.178.92.190.34321 > 10.8.1.5.8123: Flags [S], seq 2936737998, win 65535, options [mss 1360,sackOK,TS val 556398006 ecr 0,nop,wscale 8], length 0
    18:16:12.189837 IP 194.87.140.219.59905 > 10.8.1.5.8123: Flags [S], seq 3768912399, win 64860, options [mss 1380,nop,wscale 8,nop,nop,sackOK], length 0
    18:16:12.237095 IP 178.178.92.190.14731 > 10.8.1.5.8123: Flags [S], seq 3095126502, win 65535, options [mss 1360,sackOK,TS val 556399510 ecr 0,nop,wscale 8], length 0
    18:16:12.441621 IP 194.87.140.219.59906 > 10.8.1.5.8123: Flags [S], seq 3232334976, win 64860, options [mss 1380,nop,wscale 8,nop,nop,sackOK], length 0
    18:16:12.527363 IP 178.178.92.190.23292 > 10.8.1.5.8123: Flags [S], seq 4126859689, win 65535, options [mss 1360,sackOK,TS val 556399798 ecr 0,nop,wscale 8], length 0
    18:16:12.556560 IP 178.178.92.190.16038 > 10.8.1.5.8123: Flags [S], seq 2159577869, win 65535, options [mss 1360,sackOK,TS val 556399830 ecr 0,nop,wscale 8], length 0
    18:16:12.747147 IP 178.178.92.190.34321 > 10.8.1.5.8123: Flags [S], seq 2936737998, win 65535, options [mss 1360,sackOK,TS val 556400022 ecr 0,nop,wscale 8], length 0
    18:16:14.256570 IP 178.178.92.190.14731 > 10.8.1.5.8123: Flags [S], seq 3095126502, win 65535, options [mss 1360,sackOK,TS val 556401530 ecr 0,nop,wscale 8], length 0
    18:16:14.541818 IP 178.178.92.190.23292 > 10.8.1.5.8123: Flags [S], seq 4126859689, win 65535, options [mss 1360,sackOK,TS val 556401814 ecr 0,nop,wscale 8], length 0
    18:16:14.580113 IP 178.178.92.190.16038 > 10.8.1.5.8123: Flags [S], seq 2159577869, win 65535, options [mss 1360,sackOK,TS val 556401846 ecr 0,nop,wscale 8], length 0
    18:16:14.766798 IP 178.178.92.190.34321 > 10.8.1.5.8123: Flags [S], seq 2936737998, win 65535, options [mss 1360,sackOK,TS val 556402042 ecr 0,nop,wscale 8], length 0
    18:16:18.191046 IP 194.87.140.219.59905 > 10.8.1.5.8123: Flags [S], seq 3768912399, win 64860, options [mss 1380,nop,wscale 8,nop,nop,sackOK], length 0
    18:16:18.442645 IP 194.87.140.219.59906 > 10.8.1.5.8123: Flags [S], seq 3232334976, win 64860, options [mss 1380,nop,wscale 8,nop,nop,sackOK], length 0
    18:16:18.507005 IP 178.178.92.190.14731 > 10.8.1.5.8123: Flags [S], seq 3095126502, win 65535, options [mss 1360,sackOK,TS val 556405782 ecr 0,nop,wscale 8], length 0
    18:16:18.768069 IP 178.178.92.190.16038 > 10.8.1.5.8123: Flags [S], seq 2159577869, win 65535, options [mss 1360,sackOK,TS val 556406042 ecr 0,nop,wscale 8], length 0
    18:16:18.768127 IP 178.178.92.190.23292 > 10.8.1.5.8123: Flags [S], seq 4126859689, win 65535, options [mss 1360,sackOK,TS val 556406038 ecr 0,nop,wscale 8], length 0

    При этом на NAS-е этих ip уже нет
    Могу файлы выложить, если есть необходимость
     

    Цитата:
    conntrack -L | grep port=8123


    Код:
    root@vpn:~# conntrack -L | grep port=8123
    conntrack v1.4.3 (conntrack-tools): tcp      6 431051 ESTABLISHED src=10.8.1.10 dst=11.11.11.11 sport=59664 dport=4010 src=10.8.1.5 dst=10.8.1.10 sport=8123 dport=59664 [ASSURED] mark=0 use=1
    tcp      6 396539 ESTABLISHED src=194.87.140.219 dst=11.11.11.11 sport=53180 dport=4010 src=192.168.3.18 dst=194.87.140.219 sport=8123 dport=53180 [ASSURED] mark=0 use=1
    tcp      6 396541 ESTABLISHED src=194.87.140.219 dst=11.11.11.11 sport=53181 dport=4010 src=192.168.3.18 dst=194.87.140.219 sport=8123 dport=53181 [ASSURED] mark=0 use=1
    tcp      6 396540 ESTABLISHED src=194.87.140.219 dst=11.11.11.11 sport=53178 dport=4010 src=192.168.3.18 dst=194.87.140.219 sport=8123 dport=53178 [ASSURED] mark=0 use=1
    147 flow entries have been shown.

    4010 - реальный порт, который я вместо 8080 написал во всех правилах.
    Первая строка непонятно - я перед снятием дампа я пробовал при активном WG тунели на клиенте (10.8.1.10) подключится на 11.11.11.11:4010 - и в таком случае подключение работает.
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 16:36 18-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    то что нагрепалось в контраке принадлежит PC Debian 1. как Вы можете наблюдать по ip.
    где попытки входа на NAS я хз. Вы искали записи после того как DNAT переключили на NAS и попытались туда войти с внешнего мира?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 00:40 19-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Вы искали записи после того как DNAT переключили на NAS и попытались туда войти с внешнего мира?

    я сперва отключил VPN в сторону Debian-1? после переключил скриптом маршрут и только после этого производил все манипуляции.
     
    Ради любопытства решил собрать пакеты при активном "нулевом" маршруте через  WG-Cl-Amigo.
    Пришлось комментировать в конфиге
    Код:
    PostUp = ip rule add from 10.8.1.5 table 200 prio 1
    PostUp = ip route add default dev %i table 200
    с ними отказался запускаться.
     
    Трафик ходит, всё работает.
    с NAS:

    Код:
    07:35:35.225610 IP 194.87.140.219.60474 > 10.8.1.5.8123: Flags [S], seq 868833271, win 64860, options [mss 1380,nop,wscale 8,nop,nop,sackOK], length 0
    07:35:35.225670 IP 10.8.1.5.8123 > 194.87.140.219.60474: Flags [S.], seq 3589514117, ack 868833272, win 64860, options [mss 1380,nop,nop,sackOK,nop,wscale 7], length 0
    07:35:35.354428 IP 194.87.140.219.60474 > 10.8.1.5.8123: Flags [.], ack 1, win 6145, length 0
    07:35:35.354606 IP 194.87.140.219.60474 > 10.8.1.5.8123: Flags [P.], seq 1:890, ack 1, win 6145, length 889
    07:35:35.354631 IP 10.8.1.5.8123 > 194.87.140.219.60474: Flags [.], ack 890, win 502, length 0
    07:35:35.358187 IP 10.8.1.5.8123 > 194.87.140.219.60474: Flags [P.], seq 1:236, ack 890, win 502, length 235
    07:35:35.358582 IP 10.8.1.5.8123 > 194.87.140.219.60474: Flags [P.], seq 236:2599, ack 890, win 502, length 2363
    07:35:35.486980 IP 194.87.140.219.60474 > 10.8.1.5.8123: Flags [.], ack 2599, win 6145, length 0
    07:35:35.556360 IP 194.87.140.219.60475 > 10.8.1.5.8123: Flags [S], seq 3499107219, win 64860, options [mss 1380,nop,wscale 8,nop,nop,sackOK], length 0
    07:35:35.556414 IP 10.8.1.5.8123 > 194.87.140.219.60475: Flags [S.], seq 2597188357, ack 3499107220, win 64860, options [mss 1380,nop,nop,sackOK,nop,wscale 7], length 0
    07:35:35.659238 IP 194.87.140.219.60474 > 10.8.1.5.8123: Flags [P.], seq 890:1595, ack 2599, win 6145, length 705
    07:35:35.662048 IP 10.8.1.5.8123 > 194.87.140.219.60474: Flags [P.], seq 2599:2768, ack 1595, win 502, length 169
    07:35:35.662210 IP 10.8.1.5.8123 > 194.87.140.219.60474: Flags [P.], seq 2768:2834, ack 1595, win 502, length 66
    07:35:35.689238 IP 194.87.140.219.60475 > 10.8.1.5.8123: Flags [.], ack 1, win 6145, length 0
    07:35:35.689399 IP 194.87.140.219.60475 > 10.8.1.5.8123: Flags [P.], seq 1:351, ack 1, win 6145, length 350
    07:35:35.689419 IP 10.8.1.5.8123 > 194.87.140.219.60475: Flags [.], ack 351, win 504, length 0
    07:35:35.690952 IP 10.8.1.5.8123 > 194.87.140.219.60475: Flags [P.], seq 1:168, ack 351, win 504, length 167
    07:35:35.691134 IP 10.8.1.5.8123 > 194.87.140.219.60475: Flags [P.], seq 168:1165, ack 351, win 504, length 997
     

    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 06:11 19-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    У меня закончились идеи. Я считаю что идеологически описанные настройки должны работать.
    Надо либо что бы меня кто-то перепроверил. Или предложил другой вариант настройки.
     
    Давайте я вам подитожу как мне видится вся цепочка работы настроенной схемы, а Вы пойдёте и внимательно проверите что всё так и есть (речь о состоянии когда трафик должен прийти на NAS):
     1. на VPS приходит пакет на внешний IP 11.11.11.11:8080 с 22.22.22.22:3724;
     2. VPS применяет DNAT правило на 10.8.1.5:8123 (заменяя изначальный dst:dport пакет);
     3. VPS видит что пакет на ip 10.8.1.5 надо слать в wg туннель;
     4. пакет долетает до NAS через wireguard туннель;
     5. NAS обрабатывает пакет, отдавая его сервису на порту 8123;
     6. сервис на NAS генерит ответ на входящий пакет;
     7. ответный пакет сформирован с src:sport 10.8.1.5:8123 на dst:dport 22.22.22.22:3724;
     8. NAS проверяет что исходящий трафик с адреса 10.8.1.5 не важно куда, должен проверяться по таблице маршрутизации 200 (см. ip ru);
     9. на NAS в таблице 200 есть только одно правило. слать всё в wireguard туннель;
     10. ответ улетел на VPS через wg туннель;
     11. VPS получив пакет проверяет его по conntrack таблице и обнаруживает что что пакет от 10.8.1.5:8123 на 22.22.22.22.2734 должен провернуться обратно через DNAT;
     12. VPS меняет в соответствии с un-dnat правилом src:sport пакета на 11.11.11.11:8080;
     13. ответ улетает вопрошающему 22.22.22.22:3724 через default gateway VPS.
     
    Судя по тому что tcpdump ни чего не показал на NAS, ломается Ваша логика где-то на шагах 2-5.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 15:11 19-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как проверить пункты 8-13?
     

    Цитата:
    Судя по тому что tcpdump ни чего не показал на NAS, ломается Ваша логика где-то на шагах 2-5.

    Не согласен в месте поломки, максимум с чем могу согласиться - это в п.5 (кстати, поломкой в этом пункте так же может быть причина того, что я не вижу в tcpdump пакетов на порт 8123).
    Мои аргументы:
    Я ничего не трогаю на VPS, меняю только в конфиге WG-Cl-Amigo следующее:
    1. DNS = 8.8.8.8
    2. AllowedIPs = 0.0.0.0/0
    2. Комментирую PostUp = ip rule add from 10.8.1.5 table 200 prio 1; PostUp = ip route add default dev %i table 200 (с ними не стартует)  
    И всё начинает работать.
    Если бы были проблемы в маршуте с VPS на NAS - изменение конфига nas не могло бы помочь.  
     
    Вообще как-то не понятно чуток:
    1. Запустил  tcpdump -ni any host 178.178.92.211 на nas и нет ниодного пакета
    Хотя на VPS есть записи

    Код:
     
    root@vpn:~# conntrack -L | grep port=8123
    tcp      6 63 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=56265 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=56265 mark=0 use=1
    tcp      6 23 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=20429 dport=4010 [UNREPLIED] src=192.168.3.18 dst=178.178.92.211 sport=8123 dport=20429 mark=0 use=8
    tcp      6 94 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=24295 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=24295 mark=0 use=1
    tcp      6 114 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=63066 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=63066 mark=0 use=1
    tcp      6 34 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=40675 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=40675 mark=0 use=1
    tcp      6 119 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=10449 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=10449 mark=0 use=1
    tcp      6 3 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=5738 dport=4010 [UNREPLIED] src=192.168.3.18 dst=178.178.92.211 sport=8123 dport=5738 mark=0 use=6
    tcp      6 34 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=30404 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=30404 mark=0 use=1
    tcp      6 59 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=41055 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=41055 mark=0 use=1
    tcp      6 13 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=30816 dport=4010 [UNREPLIED] src=192.168.3.18 dst=178.178.92.211 sport=8123 dport=30816 mark=0 use=6
    tcp      6 74 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=14310 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=14310 mark=0 use=1
    tcp      6 47 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=34992 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=34992 mark=0 use=1
    tcp      6 24 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=28586 dport=4010 [UNREPLIED] src=192.168.3.18 dst=178.178.92.211 sport=8123 dport=28586 mark=0 use=2
    tcp      6 33 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=31678 dport=4010 [UNREPLIED] src=192.168.3.18 dst=178.178.92.211 sport=8123 dport=31678 mark=0 use=6
    tcp      6 23 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=41659 dport=4010 [UNREPLIED] src=192.168.3.18 dst=178.178.92.211 sport=8123 dport=41659 mark=0 use=6
    tcp      6 60 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=17820 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=17820 mark=0 use=1
    tcp      6 22 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=38144 dport=4010 [UNREPLIED] src=192.168.3.18 dst=178.178.92.211 sport=8123 dport=38144 mark=0 use=8
    conntrack v1.4.3 (conntrack-tools): tcp      6 311018 ESTABLISHED src=194.87.140.219 dst=11,11,11,11 sport=53180 dport=4010 src=192.168.3.18 dst=194.87.140.219 sport=8123 dport=53180 [ASSURED] mark=0 use=1
    tcp      6 84 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=22270 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=22270 mark=0 use=1
    tcp      6 104 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=2542 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=2542 mark=0 use=1
    tcp      6 311020 ESTABLISHED src=194.87.140.219 dst=11,11,11,11 sport=53181 dport=4010 src=192.168.3.18 dst=194.87.140.219 sport=8123 dport=53181 [ASSURED] mark=0 use=1
    tcp      6 73 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=39680 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=39680 mark=0 use=1
    tcp      6 98 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=53282 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=53282 mark=0 use=1
    tcp      6 98 SYN_SENT src=178.178.92.211 dst=11,11,11,11 sport=65210 dport=4010 [UNREPLIED] src=10.8.1.5 dst=178.178.92.211 sport=8123 dport=65210 mark=0 use=1
    tcp      6 311020 ESTABLISHED src=194.87.140.219 dst=11,11,11,11 sport=53178 dport=4010 src=192.168.3.18 dst=194.87.140.219 sport=8123 dport=53178 [ASSURED] mark=0 use=1
    168 flow entries have been shown.
    root@vpn:~#

     
    Добавлено:
    Может быть AllowedIPs = у клиента как-то говорит серверу, какие адреса нужно в него отправлять?
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 16:20 19-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    Цитата:
    Запустил  tcpdump -ni any host 178.178.92.211 на nas и нет ниодного пакета
    при включенном маскарадинге на VPS?
     

    Цитата:
    Может быть AllowedIPs = у клиента как-то говорит серверу, какие адреса нужно в него отправлять?
    А вот это замечания показало мне где косяк.
    AllowedIPs нужно писать 0/0 действительно, но увы, дальше судя по всему придётся руками удалять всё что wg-quick насоздавал. Кроч:
     1. пишем AllowIPs = 0.0.0.0/0
     2. пишем Table = 200
                     PostUp = ip route del default dev %i table 200
     
    Сорян, я виноват с этим AllowIPs.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:43 19-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    при включенном маскарадинге на VPS?

    я пока слабоват в термиинах  
    я запускал при активном правиле  

    Код:
    iptables -t nat -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 4010 -j DNAT --to-destination 192.168.3.18:8123

    и удалённом правиле  

    Код:
    iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

    т.е. в той ситуации, которую я хочу добиться.
     
     

    Цитата:
     2. пишем  

    Итить колотить! РАБОТАЕТ!!!!
    Вот в такой конфигурации:

    Код:
    Table = 200
    PostUp = ip route del default dev %i table 200
    PostUp = ip rule add from 10.8.1.5 table 200 prio 1
    PostUp = ip route add default dev %i table 200
    PostDown = ip rule del from 10.8.1.5 table 200 prio 1
    PostDown = ip route add default dev %i table 200
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 17:02 19-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    i81
    не пгдите, так не верно ж
    он тогда default route всегда

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 17:05 19-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    он тогда default route всегда

    нет.  
    Трассировка идет нормально  

    Код:
     
    traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
     1  _gateway (192.168.1.1)  0.663 ms  0.808 ms  0.801 ms
     2  * * *
     3  109x195x216x137.dynamic.mgn.ertelecom.ru (109.195.216.137)  2.240 ms  2.429 ms  2.422 ms
     4  72.14.215.165 (72.14.215.165)  29.304 ms * *
     5  72.14.215.166 (72.14.215.166)  30.169 ms  30.142 ms  30.401 ms
     6  * * *
    ^C
    igor@NAS-Deb:~$ traceroute ya.ru
    traceroute to ya.ru (87.250.250.242), 30 hops max, 60 byte packets
     1  _gateway (192.168.1.1)  0.533 ms  0.675 ms  0.659 ms
     2  * * *
     3  109x195x216x137.dynamic.mgn.ertelecom.ru (109.195.216.137)  2.117 ms  2.273 ms  2.254 ms
     4  188.234.131.242 (188.234.131.242)  28.900 ms  25.731 ms  25.739 ms
     5  net131.234.188-243.ertelecom.ru (188.234.131.243)  37.631 ms  39.072 ms  35.703 ms
     6  10.4.6.1 (10.4.6.1)  32.068 ms * vla-32z1-ae1.yndx.net (93.158.172.17)  31.409 ms
    ^C
    igor@NAS-Deb:~$ traceroute microsoft.com
    traceroute to microsoft.com (20.112.52.29), 30 hops max, 60 byte packets
     1  _gateway (192.168.1.1)  0.469 ms  0.621 ms  0.607 ms
     2  * * *
     3  109x195x216x137.dynamic.mgn.ertelecom.ru (109.195.216.137)  1.870 ms  2.045 ms  2.203 ms
     4  GW-ERTelecom.retn.net (87.245.244.17)  23.435 ms  23.375 ms  23.523 ms
    ^C
    igor@NAS-Deb:~$
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 17:08 19-05-2022
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Надо удалить первое и последнее правило, которое route add default
    И дописать первым правилом PostUP = ip rule del not from all lookup 200

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 17:09 19-05-2022
    i81

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    я сейчас вот вообще ничего не понял
     
    Вы пишете
    Цитата:
    2. пишем Table = 200
                     PostUp = ip route del default dev %i table 200

    я его добавляю в конфиг клиента и получаю построчно:  

    Код:
     
    1. Table = 200
    2. PostUp = ip route del default dev %i table 200 - Ваше новое предположение, без строки 3 и 4 не запускался конфиг
    3. PostUp = ip rule add from 10.8.1.5 table 200 prio 1  
    4. PostUp = ip route add default dev %i table 200
    5. PostDown = ip rule del from 10.8.1.5 table 200 prio 1
    6. PostDown = ip route add default dev %i table 200
     

    Имею:
    трафик идет через 11.11.11.11 к клиенту на 10.8.1.5, IP клиент (1.5) видит реальный исходящий.  
    Трассировка у 192.168.1.5 (хоть WG-клиента 10.8.1.5) в мир идёт через шлюз основной, а не через 10.8.1.1
    Визуально вроде всё как  нужно.  
    Что не так?
     

    Цитата:
    Надо удалить первое и последнее правило, которое route add default

    Вы имеете в виду удалить  

    Код:
    4. PostUp = ip route add default dev %i table 200
    6. PostDown = ip route add default dev %i table 200

     

    Цитата:
    И дописать первым правилом PostUP = ip rule del not from all lookup 200

    а его, что отменять при отключении интерфейса не нужно (т.е. PostDown делать)?  
     
     
     
    В таком виде запускаться не хочет

    Код:
    Table = 200
    PostUP = ip rule del not from all lookup 200
    PostUp = ip route del default dev %i table 200
    PostUp = ip rule add from 10.8.1.5 table 200 prio 1
    #PostUp = ip route add default dev %i table 200
    PostDown = ip rule del from 10.8.1.5 table 200 prio 1
    #PostDown = ip route add default dev %i table 200

     
    Пишет:

    Код:
      Process: 32713 ExecStart=/usr/bin/wg-quick up WG-Cl-Amigo (code=exited, status=2)
     Main PID: 32713 (code=exited, status=2)
     
    мая 19 19:26:48 NAS-Deb wg-quick[32713]: [#] wg setconf WG-Cl-Amigo /dev/fd/63
    мая 19 19:26:48 NAS-Deb wg-quick[32713]: [#] ip -4 address add 10.8.1.5/24 dev WG-Cl-Amigo
    мая 19 19:26:48 NAS-Deb wg-quick[32713]: [#] ip link set mtu 1420 up dev WG-Cl-Amigo
    мая 19 19:26:48 NAS-Deb wg-quick[32713]: [#] ip -4 route add 0.0.0.0/0 dev WG-Cl-Amigo table 200
    мая 19 19:26:48 NAS-Deb wg-quick[32713]: [#] ip rule del not from all lookup 200
    мая 19 19:26:48 NAS-Deb wg-quick[32713]: RTNETLINK answers: No such file or directory
    мая 19 19:26:48 NAS-Deb wg-quick[32713]: [#] ip link delete dev WG-Cl-Amigo
    мая 19 19:26:48 NAS-Deb systemd[1]: wg-quick@WG-Cl-Amigo.service: Main process exited, code=exited, status=2/INVALIDARGUMENT
    мая 19 19:26:48 NAS-Deb systemd[1]: wg-quick@WG-Cl-Amigo.service: Failed with result 'exit-code'.
    мая 19 19:26:48 NAS-Deb systemd[1]: Failed to start WireGuard via wg-quick(8) for WG/Cl/Amigo.

     
     
    Так работае запускается туннель, но трафик с мира не идёт на 8123:
    В таком виде запускаться не хочет

    Код:
    Table = 200
    #PostUP = ip rule del not from all lookup 200
    PostUp = ip route del default dev %i table 200
    PostUp = ip rule add from 10.8.1.5 table 200 prio 1
    #PostUp = ip route add default dev %i table 200
    PostDown = ip rule del from 10.8.1.5 table 200 prio 1
    #PostDown = ip route add default dev %i table 200

     
    Добавлено:
    Блин! А я счас что-то вообще не понял!!!
    Даже так:

    Код:
    Table = 200
    #PostUP = ip rule del not from all lookup 200
    #PostUp = ip route del default dev %i table 200
    #PostUp = ip rule add from 10.8.1.5 table 200 prio 1
    #PostUp = ip route add default dev %i table 200
    #PostDown = ip rule del from 10.8.1.5 table 200 prio 1
    #PostDown = ip route add default dev %i table 200
     
    [Peer]
    #AllowedIPs = 10.8.1.0/24
    AllowedIPs = 0.0.0.0/0

     
    Трассировка идёт через 192.168.1.1  
    Хотя по всей логике должна идти через 10.8.1.1  
    Как так получается???
    Всего записей: 330 | Зарегистр. 08-04-2006 | Отправлено: 17:24 19-05-2022 | Исправлено: i81, 17:32 19-05-2022
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru