Page 1 of 5 123 ... LastLast
Results 1 to 15 of 75

Thread: Настройка brute force protection на роутере

  1. #1
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157

    Post Настройка brute force protection на роутере

    Доброго времени суток!
    Скажите, решена ли проблема с халявным хождением в интернет, когда Ваш IP используют вместо шлюза?

    Описано: http://www.wl500g.info/showthread.php?t=6595

    Также, каким образом изменить мой post-firewall, чтобы во первых перенаправить доступ к 22му порту на другой "безопасный", а во вторых сделать блокирование IP атакующего на сутки, после неудачных 6-ти коннектов? Небольшое замечание - я не использую доступ к домашним компьютерам из WAN - нет необходимости.

    А то, сц@$и пытаются ломать:




    inetnum: 85.89.73.218 - 85.89.73.222
    netname: SE-NTI-SKOLAN-NETIT
    person: Thomas Rojsel
    address: Garvaregatan 4
    phone: +46 23 702 22 02
    nic-hdl: TR1185-RIPE
    source: RIPE # Filtered
    person: Lars Olsson
    address: NetIT
    address: Sweden
    phone: +46 23 636 40
    e-mail: lars@netit.se

    Вот мой post-firewall:

    #!/bin/sh
    #WEB,SSH and FTP access from WAN
    iptables -D INPUT -j DROP
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -j DROP
    #Test for post-firewall.log
    echo "post-firewall running...">/var/log/post-firewall.log

    Подскажите, гуру!
    Last edited by black_128; 19-01-2007 at 17:02.
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP

  2. #2
    Join Date
    Jan 2007
    Location
    Moscow
    Posts
    157
    Ну что, ребята? Ваши post-firewall будут за firewall?

    Вот что я придумал, верно? (Ээээх....на недельку бы всяких шведов и китайцев в бан):

    #!/bin/sh
    ## WEB,SSH and FTP access from WAN
    ## Set default policy
    iptables -P INPUT DROP
    ## Removes last default rule
    iptables -D INPUT -j DROP
    ## Open FTP,SSH,WWW ports
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --syn --dport 22 -j brute_force
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    ## Block SSH brute force attacks
    iptables -N brute_force
    iptables -F brute_force
    iptables -A brute_force -m state --state NEW -m recent --name attack --set
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -m limit --limit 1/minute --limit-burst 1 -j LOG --log-prefix 'SSH brute force attack'
    iptables -A brute_force -m recent --name attack --rcheck --seconds 60 --hitcount 4 -j DROP
    iptables -A brute_force -j ACCEPT
    ## Drop other IPs
    iptables -A INPUT -j DROP
    #Test for post-firewall.log
    echo "post-firewall running...">/var/log/post-firewall.log
    RoverBook Pro 500WH AMD X64/512/100/RW+Asus WL500gP

  3. #3

    Wl500gp скан портов.

    Уважаемые пользорватели WL500GP,
    обратил внимание, что систематически с разных адресов проводят сканирование портов. Например из последнего лога
    Code:
    syslog.log
    
    Jan 22 22:26:31 dropbear[328]: Child connection from ::ffff:203.127.35.164:56647
    Jan 22 22:26:35 dropbear[328]: bad password attempt for 'admin' from ::ffff:203.127.35.164:56647
    Jan 22 22:26:36 dropbear[328]: exit before auth (user 'admin', 1 fails): Disconnect received
    Jan 22 22:26:37 dropbear[329]: Child connection from ::ffff:203.127.35.164:56802
    Jan 22 22:26:40 dropbear[329]: bad password attempt for 'admin' from ::ffff:203.127.35.164:56802
    Jan 22 22:26:41 dropbear[329]: exit before auth (user 'admin', 1 fails): Disconnect received
    Jan 22 22:26:41 dropbear[330]: Child connection from ::ffff:203.127.35.164:56886
    Jan 22 22:26:45 dropbear[330]: login attempt for nonexistent user from ::ffff:203.127.35.164:56886
    Для блокировки использую описанную здесь процедуру блокирования IP-адресов с ручным занесением их в файл block.ip
    А вот как бы автоматизировать данную процедуру? Слаб я в люниксоидных скриптах

  4. #4
    Join Date
    Jan 2006
    Location
    Moscow
    Posts
    85
    Quote Originally Posted by vaspupkin View Post
    Уважаемые пользорватели WL500GP,
    обратил внимание, что систематически с разных адресов проводят сканирование портов. Например из последнего лога
    Code:
    syslog.log
    
    Jan 22 22:26:31 dropbear[328]: Child connection from ::ffff:203.127.35.164:56647
    Jan 22 22:26:35 dropbear[328]: bad password attempt for 'admin' from ::ffff:203.127.35.164:56647
    Jan 22 22:26:36 dropbear[328]: exit before auth (user 'admin', 1 fails): Disconnect received
    Jan 22 22:26:37 dropbear[329]: Child connection from ::ffff:203.127.35.164:56802
    Jan 22 22:26:40 dropbear[329]: bad password attempt for 'admin' from ::ffff:203.127.35.164:56802
    Jan 22 22:26:41 dropbear[329]: exit before auth (user 'admin', 1 fails): Disconnect received
    Jan 22 22:26:41 dropbear[330]: Child connection from ::ffff:203.127.35.164:56886
    Jan 22 22:26:45 dropbear[330]: login attempt for nonexistent user from ::ffff:203.127.35.164:56886
    Для блокировки использую описанную здесь процедуру блокирования IP-адресов с ручным занесением их в файл block.ip
    А вот как бы автоматизировать данную процедуру? Слаб я в люниксоидных скриптах
    Это не сканирование портов, а попытка подключиться через SSH.
    Почитайте http://wl500g.info/showthread.php?t=8015

  5. #5
    Читал внимательно, делал... не получилось
    В post-boot вставил
    Code:
    insmod ipt_recent
    В post-firewall вставлял описанные строки
    Code:
    iptables -t nat -I PREROUTING -i $WAN -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
    iptables        -I INPUT      -i $WAN -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 600 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    где вместо $WAN подставлял $1; $3
    Все равно не выходит каменный цветок.

    Может я просто заблудился в своем fire-wall, не короткий он у меня
    Гляньте, как поправить, если не трудно

    Code:
    #!/bin/sh
    
    # set default policy
    iptables -P INPUT DROP
    
    # remove last default rule
    iptables -D INPUT -j DROP
    
    # Block ICQ
    iptables -I FORWARD -s 192.168.2.0/24 -d 64.12.25.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 61.12.51.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 64.12.161.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 64.12.164.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 61.12.174.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 64.12.200.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 64.12.202.0/24 -j DROP
    
    iptables -I FORWARD -s 192.168.2.0/24 -d 152.163.159.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 152.163.208.0/24 -j DROP
    
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.7.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.8.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.9.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.153.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.157.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.165.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.179.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.248.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.251.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 205.188.253.0/24 -j DROP
    
    # Block Rambler ICQ
    iptables -I FORWARD -s 192.168.2.0/24 -d 204.15.10.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 81.19.64.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 81.19.65.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 81.19.66.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 81.19.69.0/24 -j DROP
    iptables -I FORWARD -s 192.168.2.0/24 -d 81.19.70.0/24 -j DROP
    
    # ACCEPT rules SSH, Telnet, FTP, WEB (Port 80)
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 23 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
    iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
    
    # PREROUTING rules SSH, Telnet, FTP, WEB
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 22 -j DNAT --to-destination
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 23 -j DNAT --to-destination $4:23
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 21 -j DNAT --to-destination $4:21
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 80 -j DNAT --to-destination $4:80
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 8080 -j DNAT --to-destination $4:8080
    iptables -t nat -A PREROUTING -i vlan1 -p tcp --dport 3389 -j DNAT --to-destination $4:3389
    
    # Drop all other connections
    iptables -A INPUT -j DROP
    
    # Block IPs
    /usr/local/sbin/blockIPs
    
    # CORBINA ROUTING
    # Local network:
    /sbin/route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.190.0.17
    # Corbina.ru, help.corbina.ru, home.corbina.ru
    /sbin/route add -net 85.21.29.242 netmask 255.255.255.255 gw 10.190.0.17
    # Stat.corbina.ru
    /sbin/route add -net 195.14.50.26 netmask 255.255.255.255 gw 10.190.0.17
    # Mail Server
    /sbin/route add -net 195.14.50.16 netmask 255.255.255.255 gw 10.190.0.17 
    # Local resources
    /sbin/route add -net 85.21.79.0 netmask 255.255.255.0 gw 10.190.0.17
    /sbin/route add -net 85.21.90.0 netmask 255.255.255.0 gw 10.190.0.17
    # Corbina.TV:
    /sbin/route add -net 85.21.52.254 netmask 255.255.255.255 gw 10.190.0.17
    /sbin/route add -net 85.21.88.130 netmask 255.255.255.255 gw 10.190.0.17
    /sbin/route add -net 83.102.146.96 netmask 255.255.255.224 gw 10.190.0.17
    /sbin/route add -net 85.21.138.210 netmask 255.255.255.255 gw 10.190.0.17
    /sbin/route add -net 85.21.138.214 netmask 255.255.255.255 gw 10.190.0.17
    Все получилось, всем спасибо. В конец fire-wall добавил следующий код с указанием конкретно "ppp0"
    Code:
    iptables -t nat -I PREROUTING -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --set --name SSH_ATTACKER --rsource
    iptables -I INPUT -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 60 --hitcount 3 --name SSH_ATTACKER --rsource -j DROP
    Last edited by Omega; 05-07-2012 at 00:08. Reason: fixed

  6. #6
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805

    как забанить IP-адрес после нескольких неуспешных попыток ssh-логина?

    в сислоге наблюдаю, что какой-то злобный автомат ломится на мой dropbear.

    Apr 16 00:22:07 dropbear[22309]: Child connection from ::ffff:164.100.167.22:5778
    Apr 16 00:22:08 dropbear[22309]: exit before auth: Exited normally
    Apr 16 00:24:30 dropbear[22598]: Child connection from ::ffff:164.100.167.22:30896
    Apr 16 00:24:34 dropbear[22598]: login attempt for nonexistent user from ::ffff:164.100.167.22:30896
    Apr 16 00:24:35 dropbear[22598]: exit before auth: Disconnect received
    Apr 16 00:24:35 dropbear[22609]: Child connection from ::ffff:164.100.167.22:31108
    Apr 16 00:24:38 dropbear[22609]: login attempt for nonexistent user from ::ffff:164.100.167.22:31108
    Apr 16 00:24:39 dropbear[22609]: exit before auth: Disconnect received
    Далее продолжается то же самое в течение 15 мин. Примерно каждые четыре секунды новая попытка. Итого получается где-то за 200 попыток. Мне это не нравится.

    Можно ли сделать следующее (и как):
    1) запрет соединения с IP-адреса после трех-пяти неуспешных попыток залогиниться.

    2) другой вариант после неудачной попытки логина --- пауза, скажем, 1 минута

    3) как задать какой юзер может логиниться через ssh и какой нет. Хочу запретить логин для root

    ОК, последнее уже нашел : dropbear -w

  7. #7
    Join Date
    Dec 2003
    Location
    Russian Federation
    Posts
    8,353
    Думаю, что нужно написать скрипт, который будет парсить лог и добавлять правила в iptables.

  8. #8
    Тут уже обсуждалось. Можно средствами iptables сделать временную блокировку. Если не подходит - для разборалога скрипт могу выложить.

  9. #9
    Join Date
    Mar 2007
    Location
    Moscow
    Posts
    12
    ИМХО проще и эффективнее порт дропбира поменять - никто не ломится и в логах чисто.

  10. #10
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Спасибо за ответы,

    2ATDT --- ну, это не решение, а прямо уход какой-то от проблемы. Не спортивно. Зато, правда, путь самый простой.

    2Duke --- было бы любопытно взглянуть.

  11. #11
    Вариант от macsat:

    This can be avioded by installing the ipt_recent module for iptables, and changing the firewall rules accordingly.
    The method includes allowing only X number of connections to port 22 from the same IP in a period of YY seconds.
    The ipt_recent module is in the iptables-mod-extra package, install this by:
    ipkg install iptables-mod-extra
    In this example of the setup, we will allow a maximum of 3 connections to port 22 from each IP within a 120 seconds timeframe. Also we will make a log-entry in the syslog for each blocked request to port 22. This means that we need to load both the ipt_recent and the ipt_LOG modules, and use them in our firewall.user script.
    To load the modules at starup do this:
    echo "ipt_recent" >> /etc/modules echo "ipt_LOG" >> /etc/modules
    Now you can either reboot your router, or issue the following commands to load the modules now :
    insmod ipt_recent insmod ipt_LOG
    To create the firewall rules, you need to replace this like in your firewall.user script :
    iptables -A input_rule -i $WAN -p tcp --dport 22 -j ACCEPT

    With the following three lines:
    iptables -t filter -A input_rule -i $WAN -p TCP --dport 22 -m recent --name SSH --rcheck --hitcount 3 --seconds 120 -j LOG --log-prefix "SSH_BRUTE "
    iptables -t filter -A input_rule -i $WAN -p TCP --dport 22 -m recent --name SSH --update --hitcount 3 --seconds 120 -j DROP
    iptables -t filter -A input_rule -i $WAN -p TCP --dport 22 -m recent --name SSH --set -j ACCEPT

    Now after reloading the /etc/firewall.user script - or rebooting the router, it is only possible to make 3 requests every 120 seconds from the same ip to port 22 of the WAN device of your router.
    You will still see log entries like the above, but only in blocks of three requests every two minutes. This will render brute force attacks non-useable for thoose petty hackers.
    Blocked attempts will show in the syslog with the prefix : "SSH_BRUTE" and you can see thoose by issuing:
    logread |grep "SSH_BRUTE"

  12. #12
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    wod, огромное спасибо --- выглядит отлично. Будем пробовать.

  13. #13
    Quote Originally Posted by al37919 View Post
    2Duke --- было бы любопытно взглянуть.
    Это запускается по крону
    Code:
    #!/bin/sh
    logfile=/tmp/syslog.log
    banfile=/opt/fw-deny-ssh
    for i in `awk '/dropbear.?*nonexistent/ { split($11,addr,/:/); cur=addr[4]; if(cur != prev) ban[n++]=cur; prev=cur } END { for(i=0; i in ban; i++) print ban[i] }' $logfile`
    do
        grep "$i" $banfile -q || (
            banned="NOT banned"
            iptables -I INPUT -p tcp -s $i --dport 22 -j DROP &&
            echo $i>>$banfile &&
            banned="banned"
            sendmail "Intrusion alert!" "Unsuccessfull SSH connection attempt from $i detected - $banned"
        )
    done
    И до кучи в post-firewall добавлено
    Code:
    #SSH deny
    for i in `cat /opt/fw-deny-ssh`
    do
       iptables -I INPUT -p tcp -s $i --dport 22 -j DROP
    done
    НО! Таблицы iptables увеличиваются, следовательно и производительность роутера насколько падает.

  14. #14
    Join Date
    May 2006
    Location
    Москва
    Posts
    355
    Вот тут довольно подробно обсуждалось уже.
    У меня тоже есть роутер!

  15. #15

    Защита роутера

    Code:
    an  1 16:24:47 vsftpd[985]: [christina] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:24:49 vsftpd[985]: [christina] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:24:50 vsftpd[985]: [christina] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:24:52 vsftpd[996]: CONNECT: Client "209.203.14.50"
    Jan  1 16:24:53 vsftpd[995]: [christine] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:24:55 vsftpd[995]: [christine] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:24:56 vsftpd[995]: [christine] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:24:58 vsftpd[1000]: CONNECT: Client "209.203.14.50"
    Jan  1 16:24:58 vsftpd[999]: [christopher] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:00 vsftpd[999]: [christopher] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:01 vsftpd[999]: [christopher] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:03 vsftpd[1002]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:03 vsftpd[1001]: [christy] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:05 vsftpd[1001]: [christy] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:06 vsftpd[1001]: [christy] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:09 vsftpd[1007]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:09 vsftpd[1006]: [chuck] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:11 vsftpd[1006]: [chuck] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:13 vsftpd[1006]: [chuck] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:14 vsftpd[1010]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:15 vsftpd[1009]: [cindy] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:16 vsftpd[1009]: [cindy] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:18 vsftpd[1009]: [cindy] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:19 vsftpd[1014]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:20 vsftpd[1013]: [claire] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:22 vsftpd[1013]: [claire] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:24 vsftpd[1013]: [claire] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:25 vsftpd[1017]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:26 vsftpd[1016]: [clarence] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:28 vsftpd[1016]: [clarence] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:29 vsftpd[1016]: [clarence] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:31 vsftpd[1020]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:31 vsftpd[1019]: [clarissa] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:33 vsftpd[1019]: [clarissa] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:34 vsftpd[1019]: [clarissa] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:36 vsftpd[1023]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:37 vsftpd[1022]: [clark] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:38 vsftpd[1022]: [clark] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:40 vsftpd[1022]: [clark] FAIL LOGIN: Client "209.203.14.50"
    Jan  1 16:25:41 vsftpd[1025]: CONNECT: Client "209.203.14.50"
    Jan  1 16:25:42 vsftpd[1024]: [claudia] FAIL LOGIN: Client "209.203.14.50"
    как я понимаю, судя по логу пытаются подобрать пароль к роутеру, в частности к фтп

    сообственно возникает вопрос, как максимально обезопасить,
    1. как поменять пароли для к telnet, ssh?
    2. какие правила прописать в iptables, от назойливых брутфорсеров?

Page 1 of 5 123 ... LastLast

Similar Threads

  1. Установка и настройка asterisk на роутере
    By ptabashov in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 246
    Last Post: 10-07-2017, 14:26
  2. Настройка CRON на роутере
    By dccharacter in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 338
    Last Post: 04-11-2014, 21:25
  3. Настройка mpcs на роутере
    By poptab in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 1059
    Last Post: 17-07-2012, 07:22
  4. [HowTo] avoid brute force in AP mode
    By newbiefan in forum WL-500gP Tutorials
    Replies: 8
    Last Post: 17-06-2010, 20:58
  5. VSFTP Brute force attacks
    By sarlacc in forum WL-500g Q&A
    Replies: 2
    Last Post: 28-08-2007, 20:56

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •