- 論壇徽章:
- 0
|
PACKET DIVERSION(數(shù)據(jù)包的轉(zhuǎn)發(fā))
一個divert(4)棧都有一個綁定的指定端口��,任何發(fā)送到該端口上數(shù)據(jù)包都將被轉(zhuǎn)發(fā)���。如果沒有綁定端口��,或者是divert模塊沒有被掛接�,或者內(nèi)核不支持divert棧���,那么數(shù)據(jù)包將被丟棄�����。
NETWORK ADDRESS TRANSLATION (NAT)(地址轉(zhuǎn)換)
地址轉(zhuǎn)換配置可以用以下命令:(譯注:nat命令是一個內(nèi)核級的地址轉(zhuǎn)換工具��,是從ipfw6.3開始新加入到FreeBSD中的����,由于是用aliase庫寫的,所以翻譯中��,就直接譯為:別名�。)
nat nat_number config nat-configuration
在配置中可以用以下參數(shù):
ip ip_address
定義一個用來做別名的IP地址。
if nic
用指定接口nic上的IP地址作為別名��,如果接口上的地址改變���,則自動改變相應(yīng)的IP地址��。
log 在該NAT上啟用日志記錄功能�����。
deny_in
禁止所有的外部連接進入�����。
same_ports
做地址轉(zhuǎn)換時�����,盡量維持轉(zhuǎn)換后的端口和本地的端口號一致��。(譯注:其實做地址轉(zhuǎn)換的時候�����,同時也在進行端口的轉(zhuǎn)換�����。)
unreg_only
如果從本地來的數(shù)據(jù)包���,不是源自私有IP地址空間,則被忽略���。(譯注:也就是必須來自192.168.0.0-
192.168.255.255,172.16.0.0-172.31.255.255,10.0.0.0-10.255.255.255這三段私有IP
地址��。)
reset
復(fù)位地址轉(zhuǎn)換列表�。
reverse
使libalias以相反的方式進行地址轉(zhuǎn)換��。(譯注:在libalias中有介紹���,但是沒看懂��。)
proxy_only
僅僅允許透明代理規(guī)則���,不再進行包的地址轉(zhuǎn)換����。
如果希望數(shù)據(jù)包在進行了地址轉(zhuǎn)換后繼續(xù)進入防火墻�,需要設(shè)置內(nèi)核變量net.inet.ip.fw.one_pass=0�。如果想了解更多的
關(guān)于 alias模塊的信息,請對照libalias的man頁面����。在Examples章節(jié)里,可以看到更多的關(guān)于nat的用法�。
REDIRECT AND LSNAT SUPPORT IN IPFW(IPFW支持的重定向和負(fù)載均衡地址轉(zhuǎn)換)
重定向和反向地址轉(zhuǎn)換(LSNAT)的語法和后面的natd的語法相近。查看“示例”可以看到如何進行重定向和反向地址轉(zhuǎn)換����。
SYSCTL VARIABLES(內(nèi)核變量)
防火墻和相關(guān)的模塊(dummynet,bridge)都受一系列內(nèi)核變量的控制�����。這兒把它們集合在一起�,解釋一下默認(rèn)的值(請用sysctl(8)來查看它實際的值)和它們的意義�。
net.inet.ip.dummynet.expire: 1
將沒有流量通過的一些過期的動態(tài)管道/隊列刪除����。你可以把它設(shè)置為0,那樣就只能在管道/隊列數(shù)達(dá)到闕值時被刪除掉���。
net.inet.ip.dummynet.hash_size: 64
動態(tài)管道/隊列的默認(rèn)哈希表的大小。在配置管道/隊列時��,如果指定了no buckets���,則使用這個值��。
net.inet.ip.dummynet.max_chain_len: 16
在哈希鏈中,管道/隊列的最大數(shù)目��。在net.inet.ip.dummynet.expire=0時����,管道/隊列的數(shù)目超過闕值時�,空的管道/隊列將過期�。這個闕值就是用max_chain_len*hash_size來決定��。
net.inet.ip.dummynet.red_lookup_depth: 256
net.inet.ip.dummynet.red_avg_pkt_size: 512
net.inet.ip.dummynet.red_max_pkt_size: 1500
上面的三個����,是在RED算法中,用來計算丟棄率的參數(shù)����。
net.inet.ip.fw.autoinc_step: 100
當(dāng)自動產(chǎn)生規(guī)則編號時的步進值。范圍是1-1000����。(譯注:就是ipfw后不指定規(guī)則號時的自動編號)
net.inet.ip.fw.curr_dyn_buckets: net.inet.ip.fw.dyn_buckets
當(dāng)前哈希表中的動態(tài)規(guī)則條目的數(shù)目�。(只讀)
net.inet.ip.fw.debug: 1
控制ipfw調(diào)試信息的輸出。
net.inet.ip.fw.dyn_buckets: 256
哈希表中動態(tài)規(guī)則的條目數(shù)����。必須是2的整數(shù)次冪,直到65536����。它只有當(dāng)所有的動態(tài)規(guī)則都失效時才起作用,所以在修改了它的值以后����,建議用flush命令來確保改變了哈希表的大小�����。
net.inet.ip.fw.dyn_count: 3
Current number of dynamic rules (read-only).
當(dāng)前動態(tài)規(guī)則的數(shù)目����。(只讀)
net.inet.ip.fw.dyn_keepalive: 1
對于狀態(tài)保持規(guī)則的TCP連接�����,產(chǎn)生一個keepalive的包��。對于生存期還剩下20秒的連接��,將每隔5秒鐘�����,就對雙方都發(fā)送一個keepalive包。(譯注:可能理解的不對��,last的意思不是很明確)
net.inet.ip.fw.dyn_max: 8192
動態(tài)規(guī)則的最大數(shù)目�����。當(dāng)動態(tài)規(guī)則的數(shù)目達(dá)到這個值是,就必須等到老的動態(tài)規(guī)則過期��。
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_udp_lifetime: 5
net.inet.ip.fw.dyn_short_lifetime: 30
這些變量控制著動態(tài)規(guī)則的生存期����。以秒為單位。對于初始化的SYN交換��,要短一些�����;到了雙方都看見SYN的時候�����,要加長生存期��;到交換FIN
和接收
RST時,又要減小�。dyn_fin_lifetime和dyn_rst_lifetime這兩個等待期必須都小于5秒��。這些由防火墻強制執(zhí)行���。(譯注:
SYN和FIN,RST的意義���,請參考TCP的三次握手。)
net.inet.ip.fw.enable: 1
啟用防火墻���。把它的值變?yōu)?�,將禁用防火墻��,既使把它編譯到內(nèi)核里也是一樣�����。
net.inet6.ip6.fw.enable: 1
對IPv6也同樣提供上面的功能��。
net.inet.ip.fw.one_pass: 1
當(dāng)設(shè)置為1的時候����,離開dummynet的管道或著ng_ipfw節(jié)點時,不再回到防火墻�����。否則����,數(shù)據(jù)包將在上面的動作之后���,又重新返回到防火墻���,繼續(xù)與下面的規(guī)則相匹配。
net.inet.ip.fw.verbose: 1
啟用日志記錄功能����。
net.inet.ip.fw.verbose_limit: 0
記錄日志的次數(shù)�。
net.inet6.ip6.fw.deny_unknown_exthdrs: 1
拒絕帶有未知的IPv6擴展頭的數(shù)據(jù)包��。
net.link.ether.ipfw: 0
控制第二層(數(shù)據(jù)鏈路層)的數(shù)據(jù)包能不能通過防火墻����。默認(rèn)不通過。
net.link.bridge.ipfw: 0
控制從橋上通過的數(shù)據(jù)包能不能通過IPFW��。默認(rèn)不能通過��。
EXAMPLES(示例)
IPFW有著廣泛的應(yīng)用范圍����,這兒只能舉很少的一些例子。
==BASIC PACKET FILTERING(基本的包過濾)==
下面這個命令將阻止所有的來自wolf.tambov.su主機�����,到cracker.evil.org的telnet端口的連接���。
ipfw add deny tcp from cracker.evil.org to wolf.tambov.su telnet
下面這句將阻止123.45.67.0/24這個網(wǎng)絡(luò)的IP對my.host.org主機的訪問����。
ipfw add deny ip from 123.45.67.0/24 to my.host.org
一個基本的�����、高效的限制訪問的方法(不使用動態(tài)規(guī)則)如下:
ipfw add allow tcp from any to any established
ipfw add allow tcp from net1 portlist1 to net2 portlist2 setup
ipfw add allow tcp from net3 portlist3 to net3 portlist3 setup
...
ipfw add deny tcp from any to any
第一條規(guī)則將快速地匹配正常的TCP數(shù)據(jù)包��,但是不能和初始化用的SYN包相匹配�����。初始化的SYN包只和setup規(guī)則相匹配����,并且只匹配于選定的源/目的地址對。其它所有的初始化SYN包都被最后一句拒絕���。
如果你掌管一個或多個子網(wǎng)��,那么你就可以利用地址集和”or”運算符寫出短小精湛的規(guī)則�����,用來有選擇地啟動服務(wù)或禁掉某個機器��。如下所示:
goodguys="{ 10.1.2.0/24{20,35,66,18} or 10.2.3.0/28{6,3,11} }"
badguys="10.1.2.0/24{8,38,60}"
ipfw add allow ip from ${goodguys} to any
ipfw add deny ip from ${badguys} to any
... normal policies ...
verrevpath選項可以用來進行自動的反欺騙�����,一般的用法����,是將帶有verrevpath選項的規(guī)則放到最前面。
ipfw add deny ip from any to any not verrevpath in
這個規(guī)則丟棄掉所有的在錯誤的界面上出現(xiàn)的數(shù)據(jù)包�。例如,一個源自被保護的內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包�,如果嘗試通過外部的界面�����,則被丟棄處理�。
antispoof選項可以用在相似的情況����,但是更為嚴(yán)格����。可以把它用在規(guī)則的最前頭�����。
ipfw add deny ip from any to any not antispoof in
如果數(shù)據(jù)包看起來源自于一個直連的網(wǎng)絡(luò)�,但是卻出現(xiàn)在錯誤的界面�,這樣的包則被該規(guī)則丟棄。例如�����,一個包的源IP是192.168.0.0/24���,配置為fxp0網(wǎng)卡���,來自fxp1的源是192.168.0.0/24的包����,將被丟棄掉���。
DYNAMIC RULES(動態(tài)規(guī)則)
為了保護一個站點免受flood的攻擊�����,包括虛假的TCP包攻擊���,可以使用動態(tài)規(guī)則:(譯注:以前還真不知道有這個功能。)
ipfw add check-state
ipfw add deny tcp from any to any established
ipfw add allow tcp from my-net to any setup keep-state
這個創(chuàng)建的動態(tài)規(guī)則僅匹配于來自于內(nèi)部網(wǎng)絡(luò)的正規(guī)的SYN包��。動態(tài)規(guī)則在第一次遇到check-state或keep-state時被檢查�。一個check-state規(guī)則通常放在規(guī)則集靠前的地方,來減少掃描規(guī)則集的負(fù)擔(dān)����。當(dāng)然,你會有你自己的想法���。
為了限制用戶的并發(fā)訪問數(shù)量����,可以用以下規(guī)則:
ipfw add allow tcp from my-net/24 to any setup limit src-addr 10
ipfw add allow tcp from any to me setup limit src-addr 4
第一條規(guī)則(假設(shè)運行在一個網(wǎng)關(guān)上)只允許每個在/24網(wǎng)絡(luò)上的機器同時打開10個TCP連接。第二個規(guī)則一般應(yīng)用于服務(wù)器���,可以保證一個客戶端的并發(fā)連接數(shù)不超過4個。
小心:動態(tài)規(guī)則很容易導(dǎo)致DOS攻擊���,因為SYN-flood(syn洪水)可以打開數(shù)目眾多的動態(tài)規(guī)則���?梢杂靡幌盗袃(nèi)核變量的調(diào)整來操作防火墻��,從而限制這種攻擊的效果��。(譯注:可惜沒說到底應(yīng)該設(shè)置哪些內(nèi)核參數(shù)����。)
用list命令查看記錄和時間戳信息是一個很好的主意。
ipfw -at list
或者可以用一種沒有時間戳的短格式:
ipfw -a list
這等同于:
ipfw show
下面這個規(guī)則����,將來自192.168.2.0/24這個網(wǎng)絡(luò)的數(shù)據(jù)包都轉(zhuǎn)發(fā)到5000端口���。(譯注:怎么突然來了這么一段?本來講動態(tài)規(guī)則的����,思維的彎拐得太急了吧,有好幾次都以為復(fù)制時出錯了�����。)
ipfw divert 5000 ip from 192.168.2.0/24 to any in
TRAFFIC SHAPING(流量整形)
下面的規(guī)則將演示ipfw和dummynet的一些應(yīng)用�����,或者模擬應(yīng)用�。
這條規(guī)則以丟包率為5%的機率���,隨機丟掉進入的包:
ipfw add prob 0.05 deny ip from any to any in
也一個可以利用dummynet模擬這個效果�。
ipfw add pipe 10 ip from any to any
ipfw pipe 10 config plr 0.05
我們可以利用pipe來限制帶寬���,例如�,在一個作為路由器的機器上,如果我們想用來限制來自本地192.168.2.0/24的客戶端的流量:
ipfw add pipe 1 ip from 192.168.2.0/24 to any out
ipfw pipe 1 config bw 300Kbit/s queue 50KBytes
注意我們使用out修改符����,所以這個規(guī)則不會使用兩次。要記住��,事實上�����,ipfw規(guī)則在流出和進入兩個方向上都進行檢查�����。
我們也可以用來模擬雙向的帶寬限制���,正確的做法如下:
ipfw add pipe 1 ip from any to any out
ipfw add pipe 2 ip from any to any in
ipfw pipe 1 config bw 64Kbit/s queue 10Kbytes
ipfw pipe 2 config bw 64Kbit/s queue 10Kbytes
上面的這個規(guī)則是非常有用的。例如�,如果你想看到一個在住宅區(qū)里,用慢速設(shè)備上網(wǎng)的用戶在上你心愛的網(wǎng)站�����,那么你就不要用同一條pipe規(guī)則來
限制兩個方向的流量�,除非你想模擬一個半工的連接(例如:AppleTalk,Ethernet,IRDA)�����。在某些配置里�,沒有必要使兩個管道pipe
的配置相同,所以你可以模擬一個非對稱的連接��。
如果想用RED隊列管理算法來驗證網(wǎng)絡(luò)的性能:
ipfw add pipe 1 ip from any to any
ipfw pipe 1 config bw 500Kbit/s queue 100 red 0.002/30/80/0.1
流量整形的另一個典型應(yīng)用是:在通信中加入一些延遲�。這對于一些大量應(yīng)用遠(yuǎn)程進程調(diào)用的程序來說,會有比較大的影響�����,在這些應(yīng)用中�,連接的重返時間限制經(jīng)常比限制帶寬更重要。
ipfw add pipe 1 ip from any to any out
ipfw add pipe 2 ip from any to any in
ipfw pipe 1 config delay 250ms bw 1Mbit/s
ipfw pipe 2 config delay 250ms bw 1Mbit/s
對“每個流量”進行限制的隊列有很多用途�����,一個簡單的應(yīng)用是用來計算數(shù)據(jù)包的個數(shù)和:
ipfw add pipe 1 tcp from any to any
ipfw add pipe 1 udp from any to any
ipfw add pipe 1 ip from any to any
ipfw pipe 1 config mask all
上面的一組規(guī)則將對所有的連接創(chuàng)建一個隊列(和收集統(tǒng)計信息)���。因為管道沒有限制���,所以唯一的效果就是對數(shù)據(jù)做出統(tǒng)計。需要注意,要使用3個規(guī)
則���,而不是僅僅最后一個�����。這是因為當(dāng)IPFW匹配IP包的時候��,不考慮端口��,所以�����,在第三句里�,我們看不到連接中端口的信息���。 另外廣泛的應(yīng)用是在一個
網(wǎng)絡(luò)中��,對于“每個主機”出口的流量進行限制���,要比對于“每個網(wǎng)絡(luò)”的限制好得多���。
ipfw add pipe 1 ip from 192.168.2.0/24 to any out
ipfw add pipe 2 ip from any to 192.168.2.0/24 in
ipfw pipe 1 config mask src-ip 0x000000ff bw 200Kbit/s queue 20Kbytes
ipfw pipe 2 config mask dst-ip 0x000000ff bw 200Kbit/s queue 20Kbytes
LOOKUP TABLES(表查詢)
在下面的示例中��,我們需要把流量帶寬分成好幾類�����,我們需要把不同的主機/網(wǎng)絡(luò)對應(yīng)于不同的類中�。我們?yōu)槊恳活悇?chuàng)建一個管道pipe�����,并且做好相
應(yīng)的配置����。然后我們創(chuàng)建一個單一的表,并且填上IP子網(wǎng)和地址�����。對每一個子網(wǎng)/主機�,我們設(shè)置了和準(zhǔn)備使用管道相同的號碼。然后�����,我們就可以用一條規(guī)則來
分開這些流量:
ipfw pipe 1 config bw 1000Kbyte/s
ipfw pipe 4 config bw 4000Kbyte/s
...
ipfw table 1 add 192.168.2.0/24 1
ipfw table 1 add 192.168.0.0/27 4
ipfw table 1 add 192.168.0.2 1
...
ipfw add pipe tablearg ip from table(1) to any
使用fwd運用,表項將包含主機名和IP地址:
ipfw table 1 add 192.168.2.0/24 10.23.2.1
ipfw table 1 add 192.168.0.0/27 router1.dmz
...
ipfw add 100 fwd tablearg ip from any to table(1)
SETS OF RULES(規(guī)則集)
自動創(chuàng)建一個規(guī)則集���,比如:set 18
ipfw set disable 18
ipfw add NN set 18 ... # 可以重復(fù)
ipfw set enable 18
要自動刪除一個規(guī)則集�����,可以簡單在用以下命令:
ipfw delete set 18
要測試一個規(guī)則集�����,先禁用它���,然后再重新控制,測試一下有沒有錯誤:
ipfw set disable 18
ipfw add NN set 18 ... # repeat as needed
ipfw set enable 18; echo done; sleep 30 && ipfw set disable 18
如果事情進展順利����,可以在“sleep”前按ctrl+C將其中斷,則規(guī)則集就是處在激活的狀態(tài)�。否則,如果你不能操作你的機器�,規(guī)則集將在睡眠一段時間后自動禁止��,又可以回復(fù)到以前的狀態(tài)�。
要查看規(guī)則集中的規(guī)則:
ipfw set 18 show
要查看被禁用的規(guī)則集中的規(guī)則:
ipfw -S set 18 show
要將某個集合的計數(shù)器清除:
ipfw set 18 zero NN
要刪除某個規(guī)則集中的某個規(guī)則:
ipfw set 18 delete NN
NAT, REDIRECT AND LSNAT(地址轉(zhuǎn)換�、重定向和負(fù)載均衡地址轉(zhuǎn)換)
首先��,把所有流量重定向到nat 123例程�。
ipfw add nat 123 all from any to any
然后,配置例程nat 123���,以ip地址192.168.0.123作地址轉(zhuǎn)換���,還要阻止所有進入的連接、嘗試在兩端保持相同的端口號�、在IP地址改變時清除地址轉(zhuǎn)換列表、并且還要記錄通信/鏈接統(tǒng)計��。
ipfw nat 123 config ip 192.168.0.123 log deny_in reset same_ports
或者改變例程nat 123的地址���,地址轉(zhuǎn)換表將被清除(參閱reset選項)
ipfw nat 123 config ip 10.0.0.1
要查看nat 123的配置:
ipfw nat 123 show config
要查看例程111-999的記錄:
ipfw nat 111-999 show
要查看所有例程的配置:
ipfw nat show config
一個混雜模式的重定向規(guī)則���,看起來應(yīng)該如下:
ipfw nat 123 config redirect_addr 10.0.0.1 10.0.0.66
redirect_port tcp 192.168.0.1:80 500
redirect_proto udp 192.168.1.43 192.168.1.1
redirect_addr 192.168.0.10,192.168.0.11
10.0.0.100 # LSNAT
redirect_port tcp 192.168.0.1:80,192.168.0.10:22
500 # LSNAT
它也可以被分成以下幾句規(guī)則:
ipfw nat 1 config redirect_addr 10.0.0.1 10.0.0.66
ipfw nat 2 config redirect_port tcp 192.168.0.1:80 500
ipfw nat 3 config redirect_proto udp 192.168.1.43 192.168.1.1
ipfw nat 4 config redirect_addr
192.168.0.10,192.168.0.11,192.168.0.12
10.0.0.100
ipfw nat 5 config redirect_port tcp
192.168.0.1:80,192.168.0.10:22,192.168.0.20:25 500
SEE ALSO
cpp(1), m4(1), altq(4), divert(4), dummynet(4), if_bridge(4), ip(4),
ipfirewall(4), ng_ipfw(4), protocols(5), services(5), init(8),
kldload(8), reboot(8), sysctl(8), syslogd(8)
HISTORY
ipfw工具第一次出現(xiàn)在FreeBSD2.0中。dummynet(4)從FreeBSD2.2.8開始被引入��。狀態(tài)保持在FreeBSD4.0時被引入��。ipfw2出現(xiàn)在2002年夏天�。
AUTHORS
Ugen J. S. Antsilevich,
Poul-Henning Kamp,
Alex Nash,
Archie Cobbs,
Luigi Rizzo.
API based upon code written by Daniel Boulet for BSDI.
In-kernel NAT support written by Paolo Pisati as part
of a Summer of Code 2005 project.
Work on dummynet(4) traffic shaper supported by Akamba Corp.
BUGS
語法經(jīng)過多年的發(fā)展���,有時候比較容易混淆。不幸的是��,向后兼容性阻礙了在定義語法時就清除錯誤���。
!!! 警告 !!!
不正確的配置���,會導(dǎo)致你的計算機停止了所有的服務(wù),進入不可使用的狀態(tài)���,使你不得不到機器前面去操作���。
被轉(zhuǎn)發(fā)的分段的包,是在轉(zhuǎn)發(fā)界面中��,在轉(zhuǎn)發(fā)之前重新封裝的����。用在這些包上的動作,就是匹配了第一個分段包的那個規(guī)則的動作�����。
一個包被轉(zhuǎn)發(fā)到用戶空間后���,將被插入到一個用戶空間的進程中��,這將會失去一些包的屬性�。如果包的長度小于8字節(jié)����,并且用戶進程保存和重用
sockaddr_in(就像natd(8)),包的源界面名將被保留���;否則���,將會消失。如果一個包以這種方式被重新插進來��,后來的規(guī)則會有錯誤的應(yīng)用�����,
所以���,在制定規(guī)則的順序時���,按照轉(zhuǎn)發(fā)的順序進行�,是很重要的��。
Dummynet在遇到IPv6的link-local地址時����,會丟掉所有的包。
使用uid或gid的規(guī)則可能會達(dá)不到預(yù)期的效果�。典型地,進入的SYN包就沒有一個相關(guān)的uid或gid�,因為它們不屬于任何的TCP連接。并且�,如果相關(guān)的進程使用setuid(2)或其它類似的系統(tǒng)調(diào)用,數(shù)據(jù)包相關(guān)的uid/gid也會不是預(yù)期的值�����。
規(guī)則語法受命令行的環(huán)境影響�,其它的一些匹配模式必須用反斜杠或引號來進行轉(zhuǎn)義��! ∈躭ibalias(3)架構(gòu)的限制���,ipfw
地址轉(zhuǎn)換不兼容tcp的TSO(tcp segmentation
offloading�,分段卸載)。所以��,當(dāng)在網(wǎng)絡(luò)中使用nat的時候�,請使用ifconfig工具將網(wǎng)卡的TSO禁止����。
--------------以下是翻譯說明-------------------
已經(jīng)習(xí)慣了用ipfw,覺得ipfw其實很不錯�,但手冊上的介紹有些少,所以想弄個中文的man��。但是由于本人英文和計算機都是半路出家���,純屬個人愛好而自學(xué)的����,所以各方面的水平都深欠火候�����,歡迎E文好和計算機專業(yè)的同學(xué)幫助翻譯和改正���。
在翻譯中�,受到“杜比立體聲”和“FinalBSD”的幫助,一起表示感謝�。
翻譯是一項非常枯燥的工作�����,為了尊重他人勞動�����,轉(zhuǎn)載時請注明作者:來自chinaunix的lsstarboy����。email:lsstar#sina.com
本文來自ChinaUnix博客,如果查看原文請點:http://blog.chinaunix.net/u3/94986/showart_1925171.html |
|
免費注冊
發(fā)表于 2009-05-12 10:57