ibash.org.ru - Новый цитатник Рунета

Форум: Вы таки будете смеяться, но я настраиваю шлюз с прозрачным прокси... 1 2 > [RSS]

Форум: Вход Регистрация Участники Поиск RSS

Malefic
20.11.2008 - 17:00

Ну, очень хотелось бы испортить всем жизнь и запостить сюда cat с выводом скрипта iptables и настройками Squid (2.7), но я буду человеком и кину их в отдельных сообщениях, следующих.

А пока - проблема. Проблема, вечная как жизнь, проблема, банальная как убунта...

Есть камп, который вскоре будет сервером. Шлюзом. Проксей. А уже потом - еще и почтовым сервером. Но это - в далеком будущем. Пока что настраиваем прозрачную проксю.

Собственно, с настройкой сквида проблем нет. Я его настроил, там всё легко и просто. Только вот уже третий день (нет, я не идиот, я работаю на несколько фронтов...) бьюсь с корректной, качественной настройкой файрвола.

Далее - в следующих сообщениях.

Malefic
#1 - 20.11.2008 - 17:05

Что было прочтено и освоено, однако не работает:

http://www.linux.by/wiki/index.php/Debian_Firewall
http://ylsoftware.com/?action=news&na=viewfull&news=360
http://www.opennet.ru/base/net/debian_transparent_proxy.txt.html

Основная проблема в том, что ПРИХОДИТСЯ выставлять прокси в браузере, тогда как прозрачный - этого не требует.

Вот настройка сквида, кстати:

ftfadmin@ftfkraz2:/etc/network/if-up.d$ cat /etc/squid/squid.conf
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl lim_access src 192.168.222.0-192.168.223.0/255.255.255.0
acl full_access src 192.168.222.38/255.255.255.255

acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

http_access allow full_access
http_access allow lim_access

http_access deny all
icp_access allow localnet
icp_access deny all

http_port 127.0.0.1:3128
http_port 192.168.222.254:3128 transparent

hierarchy_stoplist cgi-bin ?

cache_mem 64 MB
cache_dir ufs /var/spool/squid 1024 16 256
cache_mgr admin@ftfkraz.poltava.ua

access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

delay_pools 2
delay_class 1 3
delay_class 2 3
delay_access 1 allow full_access
delay_access 1 deny all
delay_access 2 allow lim_access
delay_access 2 deny all
delay_parameters 1 -1/-1 -1/-1 -1/-1
delay_parameters 2 -1/-1 -1/-1 10000/1024000

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

Malefic
#2 - 20.11.2008 - 17:06

..ooo000 iptables 000ooo...

писал и в соответствии с вышеданными ссылками, и пользовался генератором
http://easyfwgen.morizot.net/gen/index.php

на генераторе работает, но с глюками... обрывает и так далее... очень они мудреные получаюцца

Malefic
#3 - 20.11.2008 - 17:13

Да, кстати... Что мне нужно (=

Нужна машина, которая НЕ будет пускать всех ИЗВНЕ ВНУТРЬ сети
Которая будет ВЫПУСКАТЬ ВСЕХ изнутри
На которую можно обратиться ИЗВНЕ и ИЗНУТРИ по SSH
Которая будет ПРОПУСКАТЬ мимо сквида всех, кого я скажу //не знаю пока - надо ли
Которая будет позволять работать изнутри с ФТП

.... ну это для начала

А, кстати, сейчас на проксе стоит федора 6 и вот ее iptables. (Сразу скажу, что ставить ее не буду и что написать хочу всё с нуля в целях понимания что делаю и НА ДЕБИАНЕ)

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1389:372815]
:RH-Firewall-1-INPUT - [0:0]

-A INPUT -d 192.168.56.38 -j ACCEPT
-A INPUT -s 192.168.56.38 -j ACCEPT
-A INPUT -d 192.168.56.39 -j ACCEPT
-A INPUT -s 192.168.56.39 -j ACCEPT
-A INPUT -d 192.168.56.198 -j ACCEPT
-A INPUT -s 192.168.56.198 -j ACCEPT
-A INPUT -d 192.168.56.210 -j ACCEPT
-A INPUT -s 192.168.56.210 -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -d 192.168.56.38 -j ACCEPT
-A FORWARD -s 192.168.56.38 -j ACCEPT
-A FORWARD -d 192.168.56.39 -j ACCEPT
-A FORWARD -s 192.168.56.39 -j ACCEPT
-A FORWARD -d 192.168.56.198 -j ACCEPT
-A FORWARD -s 192.168.56.198 -j ACCEPT
-A FORWARD -d 192.168.56.210 -j ACCEPT
-A FORWARD -s 192.168.56.210 -j ACCEPT

-A FORWARD -s 192.168.56.38 -m tcp -p tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.56.39 -m tcp -p tcp --dport 25 -j ACCEPT
#-A INPUT -m tcp -p tcp --dport 25 -j DROP
-A FORWARD -m tcp -p tcp --dport 25 -j DROP

-A FORWARD -d 192.168.56.199 -j ACCEPT
-A FORWARD -s 192.168.56.199 -j ACCEPT

-A FORWARD -j RH-Firewall-1-INPUT

#-A FORWARD -s 192.168.56.38 -m -p tcp --dport 25 ACCEPT

-A OUTPUT -d 192.168.56.38 -j ACCEPT
-A OUTPUT -s 192.168.56.38 -j ACCEPT
-A OUTPUT -d 192.168.56.39 -j ACCEPT
-A OUTPUT -s 192.168.56.39 -j ACCEPT
-A OUTPUT -d 192.168.56.198 -j ACCEPT
-A OUTPUT -s 192.168.56.198 -j ACCEPT
-A OUTPUT -d 192.168.56.210 -j ACCEPT
-A OUTPUT -s 192.168.56.210 -j ACCEPT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth2 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 81 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT

-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 25 -j DROP

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
*nat
:PREROUTING ACCEPT [139:11377]
:POSTROUTING ACCEPT [93:12740]
:OUTPUT ACCEPT [92:12692]
-A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 80:88 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 777 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128

-A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 777 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 80:88 -j REDIRECT --to-port 3128

-A POSTROUTING -s 192.168.56.38 -j SNAT --to-source 195.225.145.88
-A POSTROUTING -s 192.168.56.39 -j SNAT --to-source 195.225.145.88
-A POSTROUTING -s 192.168.56.198 -j SNAT --to-source 195.225.145.88
-A POSTROUTING -s 192.168.56.210 -j SNAT --to-source 195.225.145.88

-A POSTROUTING -s 192.168.56.199 -j SNAT --to-source 195.225.145.88

COMMIT

Malefic
#4 - 20.11.2008 - 18:20

Шо, страшно? Бгггг

Malefic
#5 - 20.11.2008 - 18:54

пилять, ну вот имею щас по всем канонам настроенный сквид, обнуленные (дефолтные) iptables, добавляю в них

$ sudo iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

и прокси работает, но мать ее, не прозрачно!

Shift
#6 - 20.11.2008 - 19:23

может надо подождать пока отпустит? ППЦ у тя мысли путаются...

Malefic
#7 - 20.11.2008 - 20:29

Shift
я по делу советов спрашиваю
а где это они у меня путаются? (хотя хз, вечер уже)

Shift
#8 - 20.11.2008 - 20:36

К сожалению по настройке таблетки я слаб... я больше по веб серверам... таблетку знаю на уровне Забанить/разбанить

Iwan
#9 - 20.11.2008 - 20:39

>>Malefic

Твоя надпись:

-A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 80:88 -j REDIRECT --to-port 3128

Найди десять отличий:

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Отличия ищи после слова REDIRECT... букавка "s" сцука важная... ;) И без нее работать не будет :)))

А касаемо остальных траблов... Чего то я в твоем конфиге айпитаблов не просек где порты открываются... Может просто смотрел по диагонали... Но долбанись ка телнетом на: 3128, 80:88, 8000:8888, 777 - ибо по моему скромному мнению они у тебя прихлопаваются.

Ну и напоследок: selinux то ты выключил\настроил? А nat включить не забыл случаем? ;)

Turan
#10 - 20.11.2008 - 23:20

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
это если полнее :)
а вообще -s - это перечень портов для редиректа :)

Turan
#11 - 20.11.2008 - 23:26

з.ы.
по моим скудным познаниям... не дофига ли редиректов для прозрачного прокси?
***
-A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 80:88 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 777 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128

-A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 777 -j REDIRECT --to-port 3128
-A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 80:88 -j REDIRECT --to-port 3128
***

тут ИМХО лучше поставить единственный редирект, дальше нат должен разобрацо.
а лишние порты acl'ом закрыть просто )

Iwan
#12 - 20.11.2008 - 23:32

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
это если полнее :)
а вообще -s - это перечень портов для редиректа :)

Бля... Да я не про эту s! :))

to-ports! Не to-port.... И похуй что он один...

Зл[]рд
#13 - 21.11.2008 - 01:42

Аффигеть

Malefic
#14 - 21.11.2008 - 14:29

не-не-не! скукожте мой айпитейблс обратно!!
та таблица, что я выложил - таблица с ТЕКУЩЕГО сервака, который есть не что иное, как Ужас-Летящий-На-Крыльях-Ночи!!
Я не говорю, что на кошерна! Наоборот, я хочу сказать что она воняет сильнее моего мусорного бачка!
Я же сейчас подымаю сервак с нуля! на дебиане!
Вот!
А с --to-port проверю)) может тут собака и зарылась
Большое сенк ю, проверить могу только в Пн

Iwan
#15 - 22.11.2008 - 00:11

С --to-ports!!!!!!!!!!!!!! Забудь ты про --to-port!

Malefic
#16 - 22.11.2008 - 13:21

*втянул голову в плечи*

Shift
#17 - 22.11.2008 - 14:09

/me дико ржот :D

Malefic
#18 - 22.11.2008 - 15:04

Shift, чем пана насмешили?

Shift
#19 - 22.11.2008 - 18:27

>*втянул голову в плечи*
Чтоб не переебал? :D

Львёна
#20 - 22.11.2008 - 18:47

*задумчиво*
Shift.. по ходу интернет тебе все-таки надо вырубить..

Shift
#21 - 22.11.2008 - 19:32

ППЦ... надо искать другого провайдера...

Shift
#22 - 23.11.2008 - 11:12

теперь я понимаю почему у меня дисплей на теле сгорел... перекрываешь кислород со всех сторон?

Xenius
#23 - 23.11.2008 - 12:01

У тебя дисплей на теле? Ты киборг?

Malefic
#24 - 23.11.2008 - 13:00

Так, не флудить тут.
Я завтра начну дальше отписывать в эту тему

Львёна
#25 - 23.11.2008 - 18:30

Shift, еще не со всех)

Shift
#26 - 23.11.2008 - 18:50

#24, всё, молчим в тряпочку
ЗЫ, Xenius, есть маленько.

Malefic
#27 - 24.11.2008 - 10:17

Блин!
Ну вот что за хрррррень?
Iwan, прочитай пятый пост... Там именно --to-ports...

Ладно, смотрите, как я делаю теперь... Вобще, это на основе примеров, но тем не менее:

# нафик фсё
iptables -F
iptables -F -t nat
# запрещаю ин и аут
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# разрешаю принимать ответ на УЖЕ установленный соединения
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# loopback кошерен
iptables -A INPUT -i lo -j ACCEPT
# разрешаю ВСЁ с локалки
iptables -A INPUT -s 192.168.222.0/255.255.255.0 -i eth1 -j ACCEPT
# весь траф на 80 - на squid
iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
# NAT для всех остальных запросов
iptables -t nat -A POSTROUTING -s 192.168.222.0/255.255.255.0 -j MASQUERADE

ща проверю и отпостю, работает или нет ))

Malefic
#28 - 24.11.2008 - 10:25

Ну и мать жеж ёпрст... Всё равно не работает, если прокси не выставлен в браузере!!!!
А, кстати, опечаткался, я вначале ин только запрещаю.. аут - разрешаю )

Я не пойму, правда.. Если учесть всё, что я перечитал уже - то это просто мистика...

Shift
#29 - 24.11.2008 - 13:12

Может я чего то не понимаю в технологии прокси, но даже по http пакетам... Прокси смотрит на "Host: host.ru" когда запрос приходит...
Просто не понимаю зачем редирект с 80 порта на 3128? тот же хуй только сбоку...

Malefic
#30 - 24.11.2008 - 14:35

Shift
Потому что это не простой шлюз, а _прокси_, конкретно - сквид. Сквид имеет определенный порт, на который принимает соединения. Сквид позволяет контролировать трафик и скорости.

Shift
#31 - 24.11.2008 - 14:40

Не, это я знаю. но указывать в браузере полюбому надо что это прокси. иначе он просто будет напрямую обращаться к нужному серверу

Turan
#32 - 24.11.2008 - 15:01

3128 - по идее условие прозрачности сквида...

Malefic
#33 - 24.11.2008 - 15:18

Shift, что такое прозрачный (!!!) прокси?
Это прокси, который требует от клиента только установки шлюза, и не более. Все жа остальные запросы (-s 192.168.222.0/255.255.255.0 -p tcp) на 80 хттп порт (--dport 80) АВТОМАТИЧЕСКИ перенаправляются файрволом на 3128 себя же (REDIRECT --to-ports 3128)

Shift
#34 - 24.11.2008 - 15:27

Я просто немного подумал что ты не там копаешь... попробуй в качестве прокси указать 80 порт, и посмотри, редиректнет или нет

Malefic
#35 - 24.11.2008 - 17:14

Фсе! Пре-релиз заработал!
Нужно было банально разрешить форвард!

iptables -P FORWARD ACCEPT

Iwan
#36 - 24.11.2008 - 21:13

>>Malefic

Вооот! :) А в посте за номер 3 ты форвард уже разрешал... :)))
Поэтому если б ты сразу поставил в свой собственный конфиг --to-ports вместо --to-port... Ну и порты открыл, то не потерял бы трое суток. ;)

Как мы любим сами себе геморой сделать :)))) Как там в католицизме: Жопа случилась, потому что мы были плохие.

Ским
#37 - 24.11.2008 - 21:38

Мэл, выложи конфиги в новой редакции. Хочу посмотреть, записать, и потроллить по поводу того, что что-то можно было по-другому сделать :)

Malefic
#38 - 25.11.2008 - 08:45

вот что имею на сей секунда...
Iwan, я повторю! То, что я выложил - это то что щас на серваке крутится и оно мне оооочень не нравится! я всё с нуля делаю/учу :)

ftfadmin@ftfkraz2:~$ sudo iptables-save
# Generated by iptables-save v1.4.1.1 on Tue Nov 25 07:50:23 2008
*filter
:INPUT DROP [299:27035]
:FORWARD ACCEPT [653:182701]
:OUTPUT ACCEPT [13606:9220861]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.222.0/24 -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
# Completed on Tue Nov 25 07:50:23 2008
# Generated by iptables-save v1.4.1.1 on Tue Nov 25 07:50:23 2008
*nat
:PREROUTING ACCEPT [450:37446]
:POSTROUTING ACCEPT [424:25451]
:OUTPUT ACCEPT [424:25451]
-A PREROUTING -s 192.168.222.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.222.0/24 -j MASQUERADE
COMMIT
# Completed on Tue Nov 25 07:50:23 2008
# Generated by iptables-save v1.4.1.1 on Tue Nov 25 07:50:23 2008
*mangle
:PREROUTING ACCEPT [13004:6502273]
:INPUT ACCEPT [12351:6319572]
:FORWARD ACCEPT [653:182701]
:OUTPUT ACCEPT [13627:9223449]
:POSTROUTING ACCEPT [14280:9406150]
COMMIT
# Completed on Tue Nov 25 07:50:23 2008

вот так, а теперь мы будем заниматься установкой мейлсервера (=

Ским
#39 - 25.11.2008 - 10:21

мог бы и почитабельнее выложить :)

Kaa
#40 - 25.11.2008 - 10:46

:) ским потроллил )

Malefic
#41 - 25.11.2008 - 12:18

)) Ским, я вручную вводил команды, скрипт не писал еще

Далее - вылизываем сквид!
Запретил посещение одноклассников в рабочее время (там будут и другие полезные сайты)
acl deny_hosts_access url_regex "/etc/squid/deny_hosts_access"
acl morning time MTWHF 08:00-09:30
acl evening time MTWHF 13:30-17:00
...........
http_access deny deny_hosts_access morning
http_access deny deny_hosts_access evening
...........
deny_info http://autokraz.com.ua/work.gif deny_hosts_access #это перенаправление, но оно почему-то работало, пока я не начал добавлять время ограничения... щас разбираюсь

Malefic
#42 - 25.11.2008 - 12:19

да, кстати, кто посоветует правильнее указать сайт однокласников в файле "/etc/squid/deny_hosts_access", тому буду благодарен...

Malefic
#43 - 25.11.2008 - 12:58

всё, решил
создал свою личную ошибку в /usr/share/squid/errors/Ukrainian-utf8/
назвал ERR_GO_WORK

в сквиде добавил
error_directory /usr/share/squid/errors/Ukrainian-utf8
deny_info ERR_GO_WORK deny_hosts_access

в самом файле только банальный хтмл-редирект на то что мне нужно

Iwan
#44 - 25.11.2008 - 16:04

>>Malefic

")) Ским, я вручную вводил команды, скрипт не писал еще "

o_0 Скрипт? А зачем скрипт? Пропиши все что надо в файл... файл заархивируй.

Порты закрой все с 0:1024.. И для форварда и для inputa. Открой только те, которые сам используешь. Не надо кормить троллей, раз клиенты на винде. По udp заодно для форварда перекрой по 4096....
Да, кстати... icmp на форварде я б тоже зарезал...
Маскарад выкинь. Работает дольше намного и под большим количеством запросов начинает тормозить с ответами - замени на SNAT.

Касаемо говноклассников: рекомендую забанить диапазон IP-адресов 81.177.140.24 - 81.177.141.209

Malefic
#45 - 26.11.2008 - 09:07

Iwan, за советы огромадное спасибо, попытаюсь реализовать.
Говнокласников зобанил с 8 до 12 и с 13 до 17! )) Правда не по айпи...

Маскара-а-а-ад, маскара-а-ад...

Kaa
#46 - 26.11.2008 - 11:50

гм, а внерабочее время у вас фирма трнасформируется в корпоративный развлекательный центр? :)
в смысле, проще было бы перманентно

Malefic
#47 - 26.11.2008 - 12:17

Kaa
- Вы его железо калёным пытали, Петька?
- Конечно пытали, Василий Иванович! Не говорит ничего!
- И ногти ему вырывали?
- Да!
- И в яме с говном окунали??
- Да, и это делали, Василий Иванович! Молчит, ирод!
- И кожу полосочками снимали?
- Было дело, В.И.
- А носки мои вы ему нюхать давали?
- Ну что вы, Василий Ивановыч, мы ж не звери!!!
---------------------------
Это я к тому, что мы тоже не звери...

Xenius
#48 - 26.11.2008 - 15:08

Интересно, а если они начнут в рабочее время качать gNewSense?

Троль
#49 - 26.11.2008 - 15:11

Ну умный юзверь на забаненых однокласников сможет попасть через переводчик гугла...

Malefic
#50 - 26.11.2008 - 15:51

Xenius
Да пущай хоть порнуху смотрят на 10 Кбайт/с)))
Троль
/me перекрестился
Нет у меня !таких! умных, слава Богу!
К списку вопросовСтраницы: 1 2 >

Быстрый ответ
Имя:      Пароль:    
Текст сообщения:

«ibash.org.ru — Новый цитатник Рунета» Почта вебмастера: imail@ibash.org.ru