Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》設定OSPF驗證顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

在建立新的area時,你應該有發現其中有個驗證項目是需要指定的,
而且不能選擇None來儲存!



這驗證項目,在你沒有特別指定時,不論你選擇Text或是MD5,
其實都不會驗證,所以選哪一個都沒差,不會影響兩端的學習~
但如果我們要啟用OSPF驗證,必需驗證過才能學到動態路由,那又該怎麼做呢?

這個需求必需透過“覆寫介面設定”才能完成。



以我們的環境為例,由於backbone area是透過Port1來連線,
因此在網卡的部分,我們就必需選擇Port1,
然後在下面的驗證方法上,選擇驗證方式為Text或是MD5,並設定其密碼。



在Port1設定驗證方式後,對端網卡介面就必需跟著設定相同驗證方式與密碼,
驗證才會成功,才能透過OSPF學得動態路由!
否則就會驗證失敗,無法透過OSPF學得對端網段路由...



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-07-07, 16:02 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》兩端透過各自的area來發佈顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

除了透過backbone area 0.0.0.0來發佈外,
我們當然也能在兩端設定各自的area,然後再透過骨幹來發佈各自區域的路由摘要~



首先我們先在10.1.1.250這台Sophos上建立一個area。



Area就設定為1.1.1.1。



然後把10.199.0.0/24與10.199.1.0/24這兩個本機網段透過此area 1.1.1.1來發佈。



同樣的對端10.1.1.253也用相同的方式,把172.16.99.0/24與192.168.254.0/24兩個網段透過1.1.1.2這個area來發佈。



兩端設定完成後,在Information可看到Border routers資訊中出現了對端的router ID。



而在Routes中,可以清楚看到10.199.0.0/24與10.199.1.0/24這兩個網段是本機直連網段,並透過1.1.1.1這個area來發佈,
而172.16.99.0/24與192.168.254.0/24則是透過0.0.0.0從對端學到的。



Database資訊中顯示了完整的網段與router ID對應關係。



Neighbors一樣顯示了對端router ID。



Interface中則顯示了加入OSPF的介面。



測試結果發現,兩端透過各自的area來發佈,
最終同樣會透過backbone area來學得對端所發佈的路由~



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-07-07, 15:38 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》兩端網段統一透過0.0.0.0 backbone area來發佈顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方



要實現OSPF動態學習路由的需求,
最簡單的,就是把所有要發佈的網段,直接透過backbone area 0.0.0.0來發佈。

設定時,請先把要運行OSPF的Port1 LAN zone啟用Dynamic Routing。



然後為兩台Sophos各設定一個唯一(不重覆)的router ID,
以10.1.1.250這台Sophos為例,我們設定為10.1.1.250,
對端Sophos我們就設定為10.1.1.253。



由於0.0.0.0是系統預設的backbone area,因此我們不需要手動為0.0.0.0建立這個area;
直接把要發佈的網段,丟到0.0.0.0這個area即可。



當然對端也一樣把要發佈的網段,丟到backbone area。



完成後我們就可以在Information中檢視結果。
首先是Border routers這個資訊,
由於我們是透過backbone area來發佈,沒有其它area加入,所以這個部分是空的。



而在Routers資訊中,我們就可以看到除了10.1.1.0/24,10.199.0.0/24與10.199.1.0/24這三個直連網段以外,
還透過10.1.1.253這顆router學到了172.16.99.0/24與192.168.254.0/24這兩個新網段。



在Database資訊中,可以看到router的相關資訊。



而在最重要的Neighbors資訊中,我可以看到對端router 10.1.1.253有出現在這裏!
若這個頁面沒有出現其它鄰居router,
那就不可能透過其它鄰居來學到新的網段資訊。



在Interfaces資訊中,可以看到有發佈到OSPF的介面有up起來。



同樣的,若在對端Sophos查看,可以看到鄰居router 10.1.1.250有找到。



而路由資訊中,也顯示完整路由資訊。



透過 tcpdump 'proto 89' 指令,我們可以發現到兩台Sophos都有發出與收到OSPF的Hello封包。



另外OSFP是透過multicast來傳遞的,
所以我們也可以透過 tcpdump 'host 224.0.0.5' 指令,來觀察是否有封包透過multicast IP 224.0.0.5來傳播。



路由資訊成功透過OSPF發佈後,10.1.1.250這台Sophos上的user就可以成功traceroute到對端172.16.99.X網段~



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-07-07, 14:50 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》OSPF測試筆記顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

最近客戶有OSPF動態路由的環境需求,但網路上查到的資訊真的相當有限...
靠著這有限的線索在LAB中進行了測試,心得擷錄如下。



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-07-07, 14:45 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》AnyDesk被擋?顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

上週在處理客戶問題,要透過AnyDesk連線到客戶環境查看問題時,
突然發現AnyDesk不能連了!?
本以為是客戶端的問題,所以換了其它連線工具處理問題,
結果這週另一個客戶提供的AnyDesk也不能連!!

接連兩個客戶都不能連,那顯然是我這邊的環境有問題!
更新AnyDesk程式,還是一樣不會通,
但已可透過新版AnyDesk的UI,確認是我這邊網路的問題。



換成手機網路再測一次,AnyDesk可以正常連線,果然是我公司的問題。

但麻煩的是,我明明已經對外全開,採完全放行的政策,卻還是不能連?
問題不是我想像中那麼簡單!

搜尋網路後,發現原來是在啟用HTTPS解密的環境下,Sophos會去干擾AnyDesk應用程式的連線,
需在 SSL/TLS inspection rules 中,針對AnyDesk使用的FQDN設定不解密的例外規則。

*.anydesk.com
boot-01.net.anydesk.com
boot-02.net.anydesk.com
boot.net.anydesk.com
relays.net.anydesk.com


在建立AnyDesk的不解密的優先放行規則後,AnyDesk果然就通了~



沒想到在啟用HTTPS解密的環境裏,即便在套用的防火牆規則中,
不做HTTPS scan還是會對應用程式產生干擾,
必需設定不解密的放行規則才能真正的放行應用程式。

這真是太奇怪了!
那之前怎麼可以正常使用?
而且也沒有其他同仁反映連線問題?
AnyDesk的連線問題,我到現在還是不明白...


參考資料
AnyDesk traffic is blocked



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-06-26, 17:49 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》WebUI TLS 1.0/1.1風險問題顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

關於Captive Portal 8090 Port TLS1.0, 1.1的風險問題,
除了可以在Device Access中直接關閉服務外,
在韌體版本17.5.12後,可以透過console下達以下指令關閉TLS1.0。

set http_proxy captive_portal_tlsv1_0 on/off

在18.5以後,再多了TLS1.1版本關閉指令。
set http_proxy captive_portal_tlsv1_1 on/off


查看設定指令如下。
show http_proxy





♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-02-06, 09:30 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》HA to HA顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶買了多台Sophos防火牆,並將其中四台以兩組A/S的HA來串接,以期在跨樓層的條件下,還能維持HA的高可用性。



那麼問題來了,每台設備的兩條串接線究竟是要用LACP還是LAG的方式組成群組呢?


其實不論是LACP或LAG,它都是以網卡的硬體狀況來判斷網卡meber是好還是壞。
以LACP來說,它是以Active/Active的方式來運作,



所以若以LACP來串接4台防火牆,那麼對任何一台Primary node而言,
它對接的兩張網卡都有回應,都是好的,
它在傳送時就會透過兩張網卡去做load sharing,以提高網路速度。

然而對端的實際情形卻是只有一台在正常運作(A/S HA狀態下),
導致了只有一半的封包會通,另一半失敗,造成防火牆運作上的異常!


那麼改成Active/Standby的LAG不就好了?
LAG member中只有一條會運作,這樣不就沒有問題~



理論上是如此,
但客戶在MA或韌體升時後,卻又發現不會通的狀況!
需要在LAG的進階設定中,指定“主要介面”到目前連接的介面才會通,
不過一旦HA failovder後,又不通了!這是怎麼回事?


順子猜測是MA/韌體升級後,兩端防火牆的線路是同一時間接上,
而LAG純粹就網卡介面的up/down來判斷哪一張是active,哪一張又是standby,
而在這個當下,判斷先後的時間差,造成了LAG的active網卡無法對在正確的對端網卡上,完成通路。




【解決方式如下】

  1. 先將兩端的Auxiliary node都下線,
    讓Primary node以Standalone的角色運作.



    在這條件下,由於Auxiliary node不在,兩端勢必將正確的網卡標記為active完成連線。

  2. 網路通了後,把一台Auxiliary node上線,恢復HA組態。



  3. 最後再把另一台Auxiliary node上線,恢復兩端的HA組態。



  4. 由於LAG member網卡已正確的標記了active/standby的角色,
    在其中一組HA發生failover後,Primary node會變成failed角色短暫離線,而Auxiliary node則接手變成Primary node,
    這時因為failed角色離線,網卡失聯,而接手的Primary node網卡正常運作,
    所以會觸發對端LAG member中的active/standby角色對調,而與新的Primary node建立連線;反之亦然~

所以問題的核心並不是指定“主要介面”這件事,
而是LAG member能否在第一時間與對端建立正確的關係。
若關係建立錯誤,請依照上述方式,讓LAG的member能成功的跟對端建立正確的角色關係。
指定“主要介面”這件事,就保留預設值即可,不需要動它。

經客戶反覆多次切換防火牆測試,驗證LAG member的關係,
兩端網路都能順利的在斷一個ping的情況下順利連線,異常狀況排除~



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-01-20, 17:38 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》Ftp-bounce attack訊息顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶在內部架設好Passive FTP server後,也把ftpbounce-prevention參數由control改為data了,
FTP server看起來可以正常使用,
但在log中,卻總是伴隨著 Ftp-bounce attack 的錯誤訊息,
這正常嗎?



在開case給原廠後,原廠也不明白為何會如此?
在轉交開發團隊分析後,發現passive FTP的連線發起行為就跟FTP bounce attack一樣,
所以SFOS會顯示出一個對應的攻擊log。
但這是否為攻擊事件,還是要由管理者來做判斷...

若要停止此警告訊息,Sophos提供兩種方式。
1. 於advanced shell中輸入以下指令,但指令會在重開機後失效,需於每次重開機後再輸入一次。

echo Y > /sys/module/nf_conntrack_ftp/parameters/loose


2. 於advanced shell中輸入以下指令,先掛載磁區,將指令寫在開機磁碟,讓程式於重開機後主動再執行一次指令。
但此方法會在升級韌體後失效,升級韌體後需再執行一次。
mount -no remount, rw /
echo "echo Y > /sys/module/nf_conntrack_ftp/parameters/loose" >> /etc/sysinit_original


透過以上的處理方式,總算可以讓這個訊息不再出現了~



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2025-01-08, 17:29 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》API應用範例之2-大量輸入FQDN顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

有客戶在問,情資單位給的惡意FQDN清單,Sophos有沒有辦法批次匯入?

順子仔細去查了一下,SFOS都已經到21版了,但Sophos還是沒有這個功能...
不過有好心的使用者提供了自製的API script,可以透過API大量輸入IP與FQDN物件,連結如下。
Automated load of object through API from CSV!

這個script順子看了一下,發現它只要稍微修改一下,就可以完美符合客戶需求!

要修改哪些內容呢?
首先,FQDN跟IP物件不一樣,IP有IP list可用,可以以一個IP list物件收容多個IP,並套用在防火牆規則之中簡單管理;
但FQDN沒有FQDN list物件,每一個FQDN都是一個獨立物件,若要將大量的FQDN列入拒絕清單,對管理者而言將是一筆不小的負擔。

不過雖然FQDN沒有FQDN list可用,但我們可以透過FQDN group來達成類似需求,
把這些FQDN加到FQDN group之中,就可以在防火牆規則之中以FQDN group來進行管理。

再來就是匯入的FQDN雖然可以加上前綴字串來識別與管理,
但script中的內容是寫死的,順子把它變成一個變數,讓使用者依需求去調整。

基於以上的需求,順子修改了script內容,
讓它它可以依需求先建立FQDN Group,讓隨後的FQDN物件在建立時直接歸屬在這個FQDN Group之中,
之後要套用在防火牆規則時就簡單多了,直接套用這個Group物件即可。

# Variables you need to adjust for your environment
# -------------------------------------------------
$_FIREWALL_IP = "192.168.1.210"
$_FIREWALL_PORT = "4444"
$_API_USER = "admin"
$_API_PASSWORD = 'correcthorsebatterystaple'
$_WORK_FOLDER = "D:\test\"
$_DATA_FILE_NAME = "ips.txt"
$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"
$_ADD_FQDN_GROUP = "FQDN_G_Test"


# Main functions
# --------------

# 順子增加FQDN群組判斷
if ($_ADD_FQDN_GROUP -ne "")
    {
    $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Get><FQDNHostGroup><Filter><key name='Name' criteria='='>$($_ADD_FQDN_GROUP)</key></Filter></FQDNHostGroup></Get></Request>"    
    $_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
    [xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content

    #FQDN GROUP物件不存在時,建立FQDN物件
if ($_API_QUERY_RESULT_PARSED.Response.FQDNHostGroup.Status -eq "No. of records Zero.")
{    
        $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHostGroup><Name>$($_ADD_FQDN_GROUP)</Name></FQDNHostGroup></Set></Request>"

        $_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
        [xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content
        Write-Host "[INFO] Create FQDN Group object $($_ADD_FQDN_GROUP)"
        }
        
    $_ADD_FQDN_GROUP = "<FQDNHostGroupList><FQDNHostGroup>" + $_ADD_FQDN_GROUP + "</FQDNHostGroup></FQDNHostGroupList>"
    }            
    
    
    # For FQDN item
    # --------------
    if ($_OPERATION -eq "FQDN_Mode")
     {
        $_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHost><Name>$($_CODIFIED_ITEM_NAME)</Name><FQDN>$($_SECOND_FIELD)</FQDN>$($_ADD_FQDN_GROUP)</FQDNHost></Set></Request>"
        $_TYPE_OBJECT = "FQDN"        
     }


然後批次建立的FQDN物件的前綴字串也可以自訂,只要修改對應的參數即可。

$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"


# Prefix for name of object
    # -------------------------

if ($_ADD_PREFIXES_TO_OBJECTS -eq "Yes")
{
if ($_OPERATION -eq "FQDN_Mode")
{
$_ITEM_NAME = $_FQDN_Prefix + $_ITEM_NAME
} else {
if ($_THIRD_FIELD -eq "255.255.255.255")
{
$_ITEM_NAME = "HOST_" + $_ITEM_NAME
} else {
$_ITEM_NAME = "NET_" + $_ITEM_NAME
}
}
}


完整的script就在附加檔案之中(解壓密碼Sophos),有需要的朋友請自行取用~





shunze 上傳的檔案
Sophos_API.zip (5 KB, 已經被下載 101 次)


♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2024-12-27, 17:35 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2392
shunze 離線
《分享》舊XG退位,轉生為AP Controller顯示主題 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG系列在2025年3月底Eol,
後續接手的產品為Sophos XGS系列防火牆。
對應的21版SFOS韌體也完全拋開XG包袱,全心對應XGS的硬體規格,以撥揮更好的效能~

然而舊的legacy無線AP自18.5版韌體後,已不被SFOS支援,
客戶在購入新的XGS防火牆後,舊的AP就只能認命,隨之拋棄嗎?
Legacy AP series support on SFOS version...S series models

其實只要把舊的XG保留在18.5以前的版本,轉生為AP controller角色,就可以為舊AP續命了。


  • 首先,由於XG的角色已被XGS取代,所以我們要給XG一個新的內網IP,讓它不會跟XGS發生衝突。
  • 然後停用XGS的wireless protection,讓舊AP不會被XGS攔到,防礙它跟XG報到。
  • 接著在DHCP的設定中,增加一個234選項(此選項對應AP報到用的Magic IP),
    讓AP透過DHCP拿到IP後,知道它要去舊XG報到,而不是預設的Magic IP 1.2.3.4,
    這樣就完成XG轉生為AP Controller的設定了~


架構示意圖如下。



在此架構下,派發IP的XGS需在console中增加DHCP 234選項參數,指令如下。
system dhcp dhcp-options add optioncode 234 optionname dhcp_magic_ip optiontype ipaddress
system dhcp dhcp-options binding add dhcpname [DHCP組態名稱] optionname dhcp_magic_ip(234) value 10.1.1.253

這樣無線AP在拿到IP後,就知道要去跟XG的10.1.1.253報到,而不是預設的1.2.3.4。

另外由於XG中的無線虛擬網段192.168.99.0/24與192.168.101.0/24外頭的XGS並不認識,
所以要在XGS中增加靜態路由,讓XGS知道這兩個網段要往XG的10.1.1.253送。

192.168.99.0/24 -> 10.1.1.253
192.168.101.0/24 -> 10.1.1.253


XG本身也要增加一筆預設路由,將所有流量往XGS送,
這樣XG本身與虛擬出來的無線網段才能連外。

0.0.0.0/0 -> 10.1.1.254


而橋接到內網的無線網段,其default gateway參照內網的設定,會是XGS而不是XG,
這樣可以避免掉路由不對稱的問題。

最後,這樣的架構會出現一個潛在的問題,
若由XG虛擬出來的無線網段有連到內網的需求時,
會在XGS上出現只有單向路由通過的狀況,這種不安全的路由會被XGS封鎖。



解決的方法也很簡單,因為只有單向路由會經過XGS,所以也只能在XGS的console中增加bypass設定,
略過這兩段的封包檢查。

set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.99.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.101.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.99.0 dest_netmask 255.255.255.0
set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.101.0 dest_netmask 255.255.255.0


由於XGS略過了這些網段的封包檢查,若要進行條件等相關過濾設定,
就只能在XG上做,而不是XGS了...

透過以上的設定,就能把換下來的XG當成AP controller,讓不被支援的legacy AP能繼續使用了~
不過XG將在2025年3月底EoL,之後將沒有保固,
一旦壞了,連帶上面的legacy AP都無法續命使用,要轉生為AP Controller前也請留意這個風險喔~



♥順子老婆的網拍,請多關照~

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2024-12-25, 13:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2589 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR