ibash.org.ru - Новый цитатник Рунета | Цитаты: По дате По рейтингу Случайно Добавить Поиск RSS |
Форум: Вы таки будете смеяться, но я настраиваю шлюз с прозрачным прокси... 1 2 > [RSS] | Форум: Вход Регистрация Участники Поиск RSS |
Malefic 20.11.2008 - 17:00 | Ну, очень хотелось бы испортить всем жизнь и запостить сюда cat с выводом скрипта iptables и настройками Squid (2.7), но я буду человеком и кину их в отдельных сообщениях, следующих. А пока - проблема. Проблема, вечная как жизнь, проблема, банальная как убунта... Есть камп, который вскоре будет сервером. Шлюзом. Проксей. А уже потом - еще и почтовым сервером. Но это - в далеком будущем. Пока что настраиваем прозрачную проксю. Собственно, с настройкой сквида проблем нет. Я его настроил, там всё легко и просто. Только вот уже третий день (нет, я не идиот, я работаю на несколько фронтов...) бьюсь с корректной, качественной настройкой файрвола. Далее - в следующих сообщениях. |
Malefic #1 - 20.11.2008 - 17:05 | Что было прочтено и освоено, однако не работает: http://www.linux.by/wiki/index.php/Debian_Firewall http://ylsoftware.com/?action=news&na=viewfull&news=360 http://www.opennet.ru/base/net/debian_transparent_proxy.txt.html Основная проблема в том, что ПРИХОДИТСЯ выставлять прокси в браузере, тогда как прозрачный - этого не требует. Вот настройка сквида, кстати: ftfadmin@ftfkraz2:/etc/network/if-up.d$ cat /etc/squid/squid.conf acl all src all acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl lim_access src 192.168.222.0-192.168.223.0/255.255.255.0 acl full_access src 192.168.222.38/255.255.255.255 acl SSL_ports port 443 # https acl SSL_ports port 563 # snews acl SSL_ports port 873 # rsync acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow full_access http_access allow lim_access http_access deny all icp_access allow localnet icp_access deny all http_port 127.0.0.1:3128 http_port 192.168.222.254:3128 transparent hierarchy_stoplist cgi-bin ? cache_mem 64 MB cache_dir ufs /var/spool/squid 1024 16 256 cache_mgr admin@ftfkraz.poltava.ua access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 delay_pools 2 delay_class 1 3 delay_class 2 3 delay_access 1 allow full_access delay_access 1 deny all delay_access 2 allow lim_access delay_access 2 deny all delay_parameters 1 -1/-1 -1/-1 -1/-1 delay_parameters 2 -1/-1 -1/-1 10000/1024000 acl apache rep_header Server ^Apache broken_vary_encoding allow apache extension_methods REPORT MERGE MKACTIVITY CHECKOUT hosts_file /etc/hosts coredump_dir /var/spool/squid |
Malefic #2 - 20.11.2008 - 17:06 | ..ooo000 iptables 000ooo... писал и в соответствии с вышеданными ссылками, и пользовался генератором http://easyfwgen.morizot.net/gen/index.php на генераторе работает, но с глюками... обрывает и так далее... очень они мудреные получаюцца |
Malefic #3 - 20.11.2008 - 17:13 | Да, кстати... Что мне нужно (= Нужна машина, которая НЕ будет пускать всех ИЗВНЕ ВНУТРЬ сети Которая будет ВЫПУСКАТЬ ВСЕХ изнутри На которую можно обратиться ИЗВНЕ и ИЗНУТРИ по SSH Которая будет ПРОПУСКАТЬ мимо сквида всех, кого я скажу //не знаю пока - надо ли Которая будет позволять работать изнутри с ФТП .... ну это для начала А, кстати, сейчас на проксе стоит федора 6 и вот ее iptables. (Сразу скажу, что ставить ее не буду и что написать хочу всё с нуля в целях понимания что делаю и НА ДЕБИАНЕ) *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1389:372815] :RH-Firewall-1-INPUT - [0:0] -A INPUT -d 192.168.56.38 -j ACCEPT -A INPUT -s 192.168.56.38 -j ACCEPT -A INPUT -d 192.168.56.39 -j ACCEPT -A INPUT -s 192.168.56.39 -j ACCEPT -A INPUT -d 192.168.56.198 -j ACCEPT -A INPUT -s 192.168.56.198 -j ACCEPT -A INPUT -d 192.168.56.210 -j ACCEPT -A INPUT -s 192.168.56.210 -j ACCEPT -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -d 192.168.56.38 -j ACCEPT -A FORWARD -s 192.168.56.38 -j ACCEPT -A FORWARD -d 192.168.56.39 -j ACCEPT -A FORWARD -s 192.168.56.39 -j ACCEPT -A FORWARD -d 192.168.56.198 -j ACCEPT -A FORWARD -s 192.168.56.198 -j ACCEPT -A FORWARD -d 192.168.56.210 -j ACCEPT -A FORWARD -s 192.168.56.210 -j ACCEPT -A FORWARD -s 192.168.56.38 -m tcp -p tcp --dport 25 -j ACCEPT -A FORWARD -s 192.168.56.39 -m tcp -p tcp --dport 25 -j ACCEPT #-A INPUT -m tcp -p tcp --dport 25 -j DROP -A FORWARD -m tcp -p tcp --dport 25 -j DROP -A FORWARD -d 192.168.56.199 -j ACCEPT -A FORWARD -s 192.168.56.199 -j ACCEPT -A FORWARD -j RH-Firewall-1-INPUT #-A FORWARD -s 192.168.56.38 -m -p tcp --dport 25 ACCEPT -A OUTPUT -d 192.168.56.38 -j ACCEPT -A OUTPUT -s 192.168.56.38 -j ACCEPT -A OUTPUT -d 192.168.56.39 -j ACCEPT -A OUTPUT -s 192.168.56.39 -j ACCEPT -A OUTPUT -d 192.168.56.198 -j ACCEPT -A OUTPUT -s 192.168.56.198 -j ACCEPT -A OUTPUT -d 192.168.56.210 -j ACCEPT -A OUTPUT -s 192.168.56.210 -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT #-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT -A RH-Firewall-1-INPUT -i eth2 -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 81 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 25 -j DROP -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT *nat :PREROUTING ACCEPT [139:11377] :POSTROUTING ACCEPT [93:12740] :OUTPUT ACCEPT [92:12692] -A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 80:88 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 777 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 777 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 80:88 -j REDIRECT --to-port 3128 -A POSTROUTING -s 192.168.56.38 -j SNAT --to-source 195.225.145.88 -A POSTROUTING -s 192.168.56.39 -j SNAT --to-source 195.225.145.88 -A POSTROUTING -s 192.168.56.198 -j SNAT --to-source 195.225.145.88 -A POSTROUTING -s 192.168.56.210 -j SNAT --to-source 195.225.145.88 -A POSTROUTING -s 192.168.56.199 -j SNAT --to-source 195.225.145.88 COMMIT |
Malefic #4 - 20.11.2008 - 18:20 | Шо, страшно? Бгггг |
Malefic #5 - 20.11.2008 - 18:54 | пилять, ну вот имею щас по всем канонам настроенный сквид, обнуленные (дефолтные) iptables, добавляю в них $ sudo iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 и прокси работает, но мать ее, не прозрачно! |
Shift #6 - 20.11.2008 - 19:23 | может надо подождать пока отпустит? ППЦ у тя мысли путаются... |
Malefic #7 - 20.11.2008 - 20:29 | Shift я по делу советов спрашиваю а где это они у меня путаются? (хотя хз, вечер уже) |
Shift #8 - 20.11.2008 - 20:36 | К сожалению по настройке таблетки я слаб... я больше по веб серверам... таблетку знаю на уровне Забанить/разбанить |
Iwan #9 - 20.11.2008 - 20:39 | >>Malefic Твоя надпись: -A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 80:88 -j REDIRECT --to-port 3128 Найди десять отличий: -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 Отличия ищи после слова REDIRECT... букавка "s" сцука важная... ;) И без нее работать не будет :))) А касаемо остальных траблов... Чего то я в твоем конфиге айпитаблов не просек где порты открываются... Может просто смотрел по диагонали... Но долбанись ка телнетом на: 3128, 80:88, 8000:8888, 777 - ибо по моему скромному мнению они у тебя прихлопаваются. Ну и напоследок: selinux то ты выключил\настроил? А nat включить не забыл случаем? ;) |
Turan #10 - 20.11.2008 - 23:20 | # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 это если полнее :) а вообще -s - это перечень портов для редиректа :) |
Turan #11 - 20.11.2008 - 23:26 | з.ы. по моим скудным познаниям... не дофига ли редиректов для прозрачного прокси? *** -A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 80:88 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 777 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.56.0/24 ! -d 192.168.56.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 8000:8888 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 777 -j REDIRECT --to-port 3128 -A PREROUTING -p tcp -m multiport -s 192.168.57.0/24 ! -d 192.168.57.0/24 --dport 80:88 -j REDIRECT --to-port 3128 *** тут ИМХО лучше поставить единственный редирект, дальше нат должен разобрацо. а лишние порты acl'ом закрыть просто ) |
Iwan #12 - 20.11.2008 - 23:32 | # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 это если полнее :) а вообще -s - это перечень портов для редиректа :) Бля... Да я не про эту s! :)) to-ports! Не to-port.... И похуй что он один... |
Зл[]рд #13 - 21.11.2008 - 01:42 | Аффигеть |
Malefic #14 - 21.11.2008 - 14:29 | не-не-не! скукожте мой айпитейблс обратно!! та таблица, что я выложил - таблица с ТЕКУЩЕГО сервака, который есть не что иное, как Ужас-Летящий-На-Крыльях-Ночи!! Я не говорю, что на кошерна! Наоборот, я хочу сказать что она воняет сильнее моего мусорного бачка! Я же сейчас подымаю сервак с нуля! на дебиане! Вот! А с --to-port проверю)) может тут собака и зарылась Большое сенк ю, проверить могу только в Пн |
Iwan #15 - 22.11.2008 - 00:11 | С --to-ports!!!!!!!!!!!!!! Забудь ты про --to-port! |
Malefic #16 - 22.11.2008 - 13:21 | *втянул голову в плечи* |
Shift #17 - 22.11.2008 - 14:09 | /me дико ржот :D |
Malefic #18 - 22.11.2008 - 15:04 | Shift, чем пана насмешили? |
Shift #19 - 22.11.2008 - 18:27 | >*втянул голову в плечи* Чтоб не переебал? :D |
Львёна #20 - 22.11.2008 - 18:47 | *задумчиво* Shift.. по ходу интернет тебе все-таки надо вырубить.. |
Shift #21 - 22.11.2008 - 19:32 | ППЦ... надо искать другого провайдера... |
Shift #22 - 23.11.2008 - 11:12 | теперь я понимаю почему у меня дисплей на теле сгорел... перекрываешь кислород со всех сторон? |
Xenius #23 - 23.11.2008 - 12:01 | У тебя дисплей на теле? Ты киборг? |
Malefic #24 - 23.11.2008 - 13:00 | Так, не флудить тут. Я завтра начну дальше отписывать в эту тему |
Львёна #25 - 23.11.2008 - 18:30 | Shift, еще не со всех) |
Shift #26 - 23.11.2008 - 18:50 | #24, всё, молчим в тряпочку ЗЫ, Xenius, есть маленько. |
Malefic #27 - 24.11.2008 - 10:17 | Блин! Ну вот что за хрррррень? Iwan, прочитай пятый пост... Там именно --to-ports... Ладно, смотрите, как я делаю теперь... Вобще, это на основе примеров, но тем не менее: # нафик фсё iptables -F iptables -F -t nat # запрещаю ин и аут iptables -P INPUT DROP iptables -P OUTPUT ACCEPT # разрешаю принимать ответ на УЖЕ установленный соединения iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # loopback кошерен iptables -A INPUT -i lo -j ACCEPT # разрешаю ВСЁ с локалки iptables -A INPUT -s 192.168.222.0/255.255.255.0 -i eth1 -j ACCEPT # весь траф на 80 - на squid iptables -t nat -A PREROUTING -s 192.168.222.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 # NAT для всех остальных запросов iptables -t nat -A POSTROUTING -s 192.168.222.0/255.255.255.0 -j MASQUERADE ща проверю и отпостю, работает или нет )) |
Malefic #28 - 24.11.2008 - 10:25 | Ну и мать жеж ёпрст... Всё равно не работает, если прокси не выставлен в браузере!!!! А, кстати, опечаткался, я вначале ин только запрещаю.. аут - разрешаю ) Я не пойму, правда.. Если учесть всё, что я перечитал уже - то это просто мистика... |
Shift #29 - 24.11.2008 - 13:12 | Может я чего то не понимаю в технологии прокси, но даже по http пакетам... Прокси смотрит на "Host: host.ru" когда запрос приходит... Просто не понимаю зачем редирект с 80 порта на 3128? тот же хуй только сбоку... |
Malefic #30 - 24.11.2008 - 14:35 | Shift Потому что это не простой шлюз, а _прокси_, конкретно - сквид. Сквид имеет определенный порт, на который принимает соединения. Сквид позволяет контролировать трафик и скорости. |
Shift #31 - 24.11.2008 - 14:40 | Не, это я знаю. но указывать в браузере полюбому надо что это прокси. иначе он просто будет напрямую обращаться к нужному серверу |
Turan #32 - 24.11.2008 - 15:01 | 3128 - по идее условие прозрачности сквида... |
Malefic #33 - 24.11.2008 - 15:18 | Shift, что такое прозрачный (!!!) прокси? Это прокси, который требует от клиента только установки шлюза, и не более. Все жа остальные запросы (-s 192.168.222.0/255.255.255.0 -p tcp) на 80 хттп порт (--dport 80) АВТОМАТИЧЕСКИ перенаправляются файрволом на 3128 себя же (REDIRECT --to-ports 3128) |
Shift #34 - 24.11.2008 - 15:27 | Я просто немного подумал что ты не там копаешь... попробуй в качестве прокси указать 80 порт, и посмотри, редиректнет или нет |
Malefic #35 - 24.11.2008 - 17:14 | Фсе! Пре-релиз заработал! Нужно было банально разрешить форвард! iptables -P FORWARD ACCEPT |
Iwan #36 - 24.11.2008 - 21:13 | >>Malefic Вооот! :) А в посте за номер 3 ты форвард уже разрешал... :))) Поэтому если б ты сразу поставил в свой собственный конфиг --to-ports вместо --to-port... Ну и порты открыл, то не потерял бы трое суток. ;) Как мы любим сами себе геморой сделать :)))) Как там в католицизме: Жопа случилась, потому что мы были плохие. |
Ским #37 - 24.11.2008 - 21:38 | Мэл, выложи конфиги в новой редакции. Хочу посмотреть, записать, и потроллить по поводу того, что что-то можно было по-другому сделать :) |
Malefic #38 - 25.11.2008 - 08:45 | вот что имею на сей секунда... Iwan, я повторю! То, что я выложил - это то что щас на серваке крутится и оно мне оооочень не нравится! я всё с нуля делаю/учу :) ftfadmin@ftfkraz2:~$ sudo iptables-save # Generated by iptables-save v1.4.1.1 on Tue Nov 25 07:50:23 2008 *filter :INPUT DROP [299:27035] :FORWARD ACCEPT [653:182701] :OUTPUT ACCEPT [13606:9220861] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.222.0/24 -i eth1 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT COMMIT # Completed on Tue Nov 25 07:50:23 2008 # Generated by iptables-save v1.4.1.1 on Tue Nov 25 07:50:23 2008 *nat :PREROUTING ACCEPT [450:37446] :POSTROUTING ACCEPT [424:25451] :OUTPUT ACCEPT [424:25451] -A PREROUTING -s 192.168.222.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.222.0/24 -j MASQUERADE COMMIT # Completed on Tue Nov 25 07:50:23 2008 # Generated by iptables-save v1.4.1.1 on Tue Nov 25 07:50:23 2008 *mangle :PREROUTING ACCEPT [13004:6502273] :INPUT ACCEPT [12351:6319572] :FORWARD ACCEPT [653:182701] :OUTPUT ACCEPT [13627:9223449] :POSTROUTING ACCEPT [14280:9406150] COMMIT # Completed on Tue Nov 25 07:50:23 2008 вот так, а теперь мы будем заниматься установкой мейлсервера (= |
Ским #39 - 25.11.2008 - 10:21 | мог бы и почитабельнее выложить :) |
Kaa #40 - 25.11.2008 - 10:46 | :) ским потроллил ) |
Malefic #41 - 25.11.2008 - 12:18 | )) Ским, я вручную вводил команды, скрипт не писал еще Далее - вылизываем сквид! Запретил посещение одноклассников в рабочее время (там будут и другие полезные сайты) acl deny_hosts_access url_regex "/etc/squid/deny_hosts_access" acl morning time MTWHF 08:00-09:30 acl evening time MTWHF 13:30-17:00 ........... http_access deny deny_hosts_access morning http_access deny deny_hosts_access evening ........... deny_info http://autokraz.com.ua/work.gif deny_hosts_access #это перенаправление, но оно почему-то работало, пока я не начал добавлять время ограничения... щас разбираюсь |
Malefic #42 - 25.11.2008 - 12:19 | да, кстати, кто посоветует правильнее указать сайт однокласников в файле "/etc/squid/deny_hosts_access", тому буду благодарен... |
Malefic #43 - 25.11.2008 - 12:58 | всё, решил создал свою личную ошибку в /usr/share/squid/errors/Ukrainian-utf8/ назвал ERR_GO_WORK в сквиде добавил error_directory /usr/share/squid/errors/Ukrainian-utf8 deny_info ERR_GO_WORK deny_hosts_access в самом файле только банальный хтмл-редирект на то что мне нужно |
Iwan #44 - 25.11.2008 - 16:04 | >>Malefic ")) Ским, я вручную вводил команды, скрипт не писал еще " o_0 Скрипт? А зачем скрипт? Пропиши все что надо в файл... файл заархивируй. Порты закрой все с 0:1024.. И для форварда и для inputa. Открой только те, которые сам используешь. Не надо кормить троллей, раз клиенты на винде. По udp заодно для форварда перекрой по 4096.... Да, кстати... icmp на форварде я б тоже зарезал... Маскарад выкинь. Работает дольше намного и под большим количеством запросов начинает тормозить с ответами - замени на SNAT. Касаемо говноклассников: рекомендую забанить диапазон IP-адресов 81.177.140.24 - 81.177.141.209 |
Malefic #45 - 26.11.2008 - 09:07 | Iwan, за советы огромадное спасибо, попытаюсь реализовать. Говнокласников зобанил с 8 до 12 и с 13 до 17! )) Правда не по айпи... Маскара-а-а-ад, маскара-а-ад... |
Kaa #46 - 26.11.2008 - 11:50 | гм, а внерабочее время у вас фирма трнасформируется в корпоративный развлекательный центр? :) в смысле, проще было бы перманентно |
Malefic #47 - 26.11.2008 - 12:17 | Kaa - Вы его железо калёным пытали, Петька? - Конечно пытали, Василий Иванович! Не говорит ничего! - И ногти ему вырывали? - Да! - И в яме с говном окунали?? - Да, и это делали, Василий Иванович! Молчит, ирод! - И кожу полосочками снимали? - Было дело, В.И. - А носки мои вы ему нюхать давали? - Ну что вы, Василий Ивановыч, мы ж не звери!!! --------------------------- Это я к тому, что мы тоже не звери... |
Xenius #48 - 26.11.2008 - 15:08 | Интересно, а если они начнут в рабочее время качать gNewSense? |
Троль #49 - 26.11.2008 - 15:11 | Ну умный юзверь на забаненых однокласников сможет попасть через переводчик гугла... |
Malefic #50 - 26.11.2008 - 15:51 | Xenius Да пущай хоть порнуху смотрят на 10 Кбайт/с))) Троль /me перекрестился Нет у меня !таких! умных, слава Богу! |
К списку вопросов | Страницы: 1 2 > |
«ibash.org.ru — Новый цитатник Рунета» | Почта вебмастера: imail@ibash.org.ru |