06 Maja 2021 07:51:10
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Multiroom N z wykorz...
· Repeater Wi-Fi a prz...
· netgear wndr4500
· Netgear 4500 v1 + Hu...
· Swap w pliku
· Asus RT-NU68U Nordvpn
· [MOD] FreshTomato-AR...
· WRT54G V.6
· [S] Shuttle DX30
· [S] Netgear R6400v2
· [S] ASUS RT-AC87U
· [HOWTO] MultiRoom Se...
· [HOWTO] MultiRoom Se...
· Netgear r700 restart...
· [HOWTO] Klient SMTP ...
· [HOWTO] Automatyczne...
· VPN er-x
· [s] Asus RT-AC3200
· [HOWTO] DynDNS w OVH...
· RT-AC56U z moda AC68...
Najciekawsze tematy
· Multiroom N z wyk... [1211]
· [MOD] FreshTomato... [537]
· ER-X zacina się [7]
· RT-AC56U z moda A... [6]
· Asus RT-NU68U Nor... [3]
· [HOWTO] DynDNS w ... [3]
· Netgear 4500 v1 +... [2]
· WRT54G V.6 [2]
· VPN er-x [2]
· [HOWTO] Klient SM... [1]
· Repeater Wi-Fi a ... [0]
· netgear wndr4500 [0]
· Swap w pliku [0]
· [S] Shuttle DX30 [0]
· [S] Netgear R6400v2 [0]
· [S] ASUS RT-AC87U [0]
· [HOWTO] MultiRoom... [0]
· [HOWTO] MultiRoom... [0]
· Netgear r700 rest... [0]
· [HOWTO] Automatyc... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [145 głosów]

Broadcom ARM
Broadcom ARM
51% [198 głosów]

Atheros
Atheros
5% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [12 głosów]

Ogółem głosów: 386
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
18.232.50.137
Reklama
Zobacz temat
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj temat
Blokowanie HTTPS (np. Facebook) za pomocą dnsmasq i ipset
shibby
Tytułem wstępu

Obsługa IPSet dla dnsmasq dostępna jest w Tomato od pewnego czasu. Od wersji v129 również Tomato-ARM również wspiera tą funkcjonalność.

Blokowanie połączeń szyfrowanych, nie jest proste, gdyż nie ma idealnej metody filtrowania pakietów. Najpopularniejszą metodą jest użycie modułu string z iptables, który pozwala na przeskanowanie każdego pakietu pod kątem występowania danego słowa. Generuje to jednak 3 problemy:
1) dodatkowe i znaczne obciążenie procesora skanowaniem każdego pakietu
2) nie zawsze filtrowane słowo występuje z zaszyfrowanym pakiecie w czytelnej formie
3) blokowane słowo może być częścią innego słowa, np. blokowanie nk.pl spowoduje również blokadę bank.pl, ingbank.pl itd.

Znacznie lepszą metodą jest blokowanie adresów IP serwerów danej witryny. Problem w tym, że duże serwisy jak chociażby facebook stoją na farmach serwerów, które posiadają wiele adresów IP, co więcej te adresy ciągle się zmieniają. Tu z pomocą przychodzi nam funkcjonalność IPSet.

W dużym skrócie: Tworzymy łańcuch IPSet, do którego DNSmasq będzie dopisywał wszystkie adresy IP jakie uda mu się rozwiązać dla danej domeny. Mają listę adresów IP w łańcuchu IPSet możemy wskazany łańcuch zablokować prostą regułką iptables.


Do dzieła.

Załóżmy, że chcemy zablokować stronę Facebook dla danego adresu IP w naszej sieci, np. 192.168.1.10.

By to uczynić, do skryptu Firewall doklejamy następujące regułki:

Dla Tomato Mipsel
modprobe ipt_set
modprobe ip_set
modprobe ip_set_iphash

ipset --create facebook iphash

iptables -I FORWARD 1 -s 192.168.1.10 -m set --match-set facebook dst,src -j DROP



Dla Tomato-ARM
modprobe xt_set
modprobe ip_set
modprobe ip_set_hash_ip

ipset create facebook hash:ip

iptables -I FORWARD 1 -s 192.168.1.10 -m set --match-set facebook dst,src -j DROP


pierwsze 3 linie to załadowanie wymaganych modułów kernela. Kolejna linia tworzy łańcuch ipset o nazwie "facebook" Ostania reguła blokuje pakiety, których źródłem jest ip 192.168.1.10 dla reguły "set facebook".

Po tym zabiegu wydajemy jednorazowo komendę "service firewall restart" by nasze reguły zostały zaaplikowane. Po restarcie routera działo się to będzie automatycznie.
Na tym etapie strona facebooka będzie jeszcze normalnie chodzić, ponieważ łańcuch, który blokujemy, jest póki co pusty.

Teraz pora na DNSMasq. W zakładce Advanced -> DHCP/DNS -> w Custom Configuration, dopisujemy:
ipset=/facebook.com/facebook
ipset=/fb.com/facebook


i zapisujemy zmiany. Dzięki tym wpisom, dnsmasq będzie automatycznie "karmić" nasz łańcuch "facebook" nowymi adresami IP, jeżeli tylko odpytamy domeny facebook.com lub fb.com. Od tej pory strona powinna być już zablokowana.

Oczywiście by nasz łańcuch był "karmiony", klienci muszą używać serwera DNS wbudowanego w Tomato.

PS To rozwiązanie ma jeden minus: blokuje komunikację z danych adresem IP serwera, zatem wszystkie usługi na danym adresie IP przestaną działać. Przykładowo tomato.groov.pl o openlinksys.info stoją na tym samym adresie IP. Zablokowanie jednej strony spowoduje automatycznie blokadę drugiej witryny.
Bardziej problematyczny przykład to usługi google. Blokada np. Youtuba może jednocześnie zablokować dostęp do innych usług googla np. gmail lub google docs, ponieważ Google używa tej samej farmy serwerów do różnych aplikacji.

Mimo wszystko mam nadzieję, że powyższe rozwiązanie będzie dla niektórych pomocne.

Pozdrawiam
Edytowane przez shibby dnia 14-09-2015 12:05
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
miniPC: DELL Optiplex 3040M i3-6100T, 8GB, 128GB SSD, Debian 10 buster
 
qrs
potwierdzam, działa na R7000 (ARM)

super!!!
---
Netgear R7000 [2021.2 K26ARM USB AIO-64K]
MikroTik hAP ac^2 [RouterOS v6.48.2]
TP-LINK M7650 [1.1.8 Build 201110 Rel.1026n]
 
need_password
Ja wolę blokować za pomocą OpenDNS. Tam są całe kategorie stron, które mają być blokowane, a w panelu wygląda to tak
http://i60.tinypi...auz6ti.jpg
need_password dodał/a następującą plik:
Nie masz uprawnień to pobierania załączników w tym temacie.

Asus RT-AC56U
Netgear R7000
Asus RT-N10U
Tenda N60
Linksys WRT54G
 
shibby
ale korzystając z OpenDNS:
1) zmuszasz się do korzystania akurat z ich DNSów i żadnych innych
2) jeżeli użytkownik zmieni sobie DNSy na końcówce lub wpisze danego hosta w plik hosts, to blokada openDNS przestanie działać.

To rozwiązanie też oczywiście idealne nie jest ale nie podlega ono powyższym dwóm punktom.

Powyższe rozwiązanie nie ma na pewno zastosowania przy filtrowaniu danych treści tematycznych. Chodzi w nim raczej o ograniczenie wybranej osobie/osobom dostępu do danej witryny (facebook, youtube), którą dana osoba w domu (np. dzieci) lub w pracy nadużywa.

Sam przedstawiony przeze mnie sposób jest również przedstawieniem przykładu wykorzystania dnsmasq+ipset, o którym mało kto wie. Dla przykładu dodam, że funkcjonalność ipset używana jest przez Tomato np. w funkcjonalności Selectable routing dla OpenVPN Smile
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
miniPC: DELL Optiplex 3040M i3-6100T, 8GB, 128GB SSD, Debian 10 buster
 
need_password
OPENDNS jest skuteczny, a raczej był. Pomimo że było na kompach zablokowane takie ustawienia jak zmiana DNS, to i tak jeden użyszkodnik złamał "system" i ominął ograniczenie. Jak? A bardzo łatwo. Kutafon zorientował się, że nasza sieć pracuje na DSLu. Czyli Orange. Jak Orange to wystarczy otworzyć google i wpisać "proxy tpsa". Wynik to 2 adresy serwera proxy. Wpisał je więc w firefoxa w Opcje->zaawansowane->sieć->ustawienia. I już twarzoksiążka chodzi, nk działa, a robota stoi. Firefoxa przecież nie da się zablokować tak, żeby to ustawienie było ukryte. Jutro oskarżę go o złamanie polityki bezpieczeństwa firmy i każe głównemu ekonomowi go wychłostać. Ale to jutro będzie. A dziś trzeba zablokować te proxy. Ma ktoś pomysł jak?
Asus RT-AC56U
Netgear R7000
Asus RT-N10U
Tenda N60
Linksys WRT54G
 
Steel_Rat
Myśle, że jak tam się wpisze każde proxy nie tylko z tepsy to ominie się OPENDNS. Musiałbyś każde proxy blokować.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
 
ryskonet
Pewnie pytanie banalne, ale jak tym sposobem zablokować zakres np. 10.0.0.2-10.0.0.254?
ASUS RT-N18U
Tomato Firmware 1.28.0000 -131 K26ARM USB AIO-64K
 
shibby
zamiast -s wpisz
-m iprange --src-range 10.0.0.1-10.0.0.254

albo (bo w sumie twój zakres tyczy się całej podsieci) możesz użyć -s 10.0.0.0/24
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
miniPC: DELL Optiplex 3040M i3-6100T, 8GB, 128GB SSD, Debian 10 buster
 
ryskonet
dzięki :-)

Połączony z 09 listopad 2015 16:51:51:
Shibby, a czy Twój przykład możnaby zmodyfikować, by działał odwrotnie, tzn. zablokować dla tego zakresu cały ruch z internetu z wyjątkiem tego, co jest w łańcuchu (w przykładzie "facebook"Wink

z góry dzięki
Edytowane przez ryskonet dnia 09-11-2015 16:51
ASUS RT-N18U
Tomato Firmware 1.28.0000 -131 K26ARM USB AIO-64K
 
shadowlord
po wpisaniu

iptables -I FORWARD 1 -s 192.168.1.10 -m set --match-set facebook dst,src -j DROP

wywala mi błąd

iptables v1.3.8: Unknown arg `(null)'

coś mu nie pasuje w składni ?
Netgear R6400 + Tomato v138
ASUS RT-N16 + Tomato v138
 
przemasisko
Załadowałeś moduły pod odpowiednią architekturę?
Asus RT-AC86U | Asuswrt-Merlin 384.9
Synology DS218+ | DSM 6.2
Raspberry Pi 3 B+ | Raspbian Stretch Lite
APC Back-UPS ES 700
 
shadowlord
pewnie do AC-66U to raczej Mipsel ?

Połączony z 07 styczeń 2016 11:30:04:
obecnie działa mi to

iptables -I FORWARD -p tcp -m tcp -m string --string "facebook.com" --algo bm -j DROP
iptables -I FORWARD -p tcp -m tcp -m string --string "facebook" --algo bm -j DROP

po załadowaniu

modprobe -a xt_string

ale metoda z tego postu bardziej mi się podoba tylko jest zonk z tym poleceniem

iptables -I FORWARD 1 -s 192.168.1.10 -m set --match-set facebook dst,src -j DROP

tak jak by ta wersja iptables nie rozumiała tej składni
Edytowane przez shadowlord dnia 07-01-2016 11:30
Netgear R6400 + Tomato v138
ASUS RT-N16 + Tomato v138
 
shibby
a łańcuch facebook dla ipset utworzyłeś?
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
miniPC: DELL Optiplex 3040M i3-6100T, 8GB, 128GB SSD, Debian 10 buster
 
shadowlord
jak zmienię trochę składnię na
iptables -I FORWARD 1 -s 192.168.1.10 -m set --match facebook dst,src -j DROP
to dostaje
iptables v1.3.8: Couldn't load match `facebook':File not found

Połączony z 07 styczeń 2016 12:29:33:
tak dostaje info że już jest
ipset v4.5: Set already exists
Edytowane przez shadowlord dnia 07-01-2016 12:29
Netgear R6400 + Tomato v138
ASUS RT-N16 + Tomato v138
 
shibby
a pokaż ipset list albo ipset --list
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
miniPC: DELL Optiplex 3040M i3-6100T, 8GB, 128GB SSD, Debian 10 buster
 
shadowlord
Name: facebook
Type: iphash
References: 0
Header: hashsize: 1024 probes: 8 resize: 50
Members:
31.13.93.3
31.13.93.36
173.252.120.68
31.13.81.36
31.13.93.7

Połączony z 07 styczeń 2016 12:36:22:
coś dodaje chyba mimo że polecenie wywala błąd

Połączony z 07 styczeń 2016 12:54:33:
tylko nie wiem czy facebook będzie blokowany bo nie widzę ty adresów z ipset --list w tablicy iptables do blokowania ?
Edytowane przez shadowlord dnia 07-01-2016 12:54
Netgear R6400 + Tomato v138
ASUS RT-N16 + Tomato v138
 
shibby
iptables -I FORWARD 1 -s 192.168.1.10 -m set --match facebook dst,src -j DROP


w tutorialu pisze --match-set a nie --match
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
miniPC: DELL Optiplex 3040M i3-6100T, 8GB, 128GB SSD, Debian 10 buster
 
shadowlord
wiem ale i tak nie działa, sprawdzam różne warianty, niestety w ipset --list mam adresy IP ale do blokowania ich nie dodaje przez to że wywala błąd iptables

Połączony z 07 styczeń 2016 18:20:58:
ciągle dostaje
iptables v1.3.8: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.

Połączony z 07 styczeń 2016 18:24:42:
może brakuje jakiegoś modułu iptables, mam świeże tomato postawione ?

Połączony z 07 styczeń 2016 18:35:43:
coś takiego przyjmuje
iptables -I INPUT -m set --set facebook src -j REJECT

Połączony z 07 styczeń 2016 18:38:58:
poszło taką formułę przyjmuje i działa blokowanie

iptables -I FORWARD -m set --set facebook dst,src -j DROP
Edytowane przez shadowlord dnia 07-01-2016 18:38
Netgear R6400 + Tomato v138
ASUS RT-N16 + Tomato v138
 
qrs
można tworzyć kilka łańcuchów czy opierać się tylko o facebook np

Pobierz kod źródłowy  Kod źródłowy
ipset=/fb.com/facebook
ipset=/fbcdn.net/facebook
ipset=/facebook.net/facebook
ipset=/akamaihd.net/facebook
ipset=/facebook.com/facebook
ipset=/nk.pl/facebook
ipset=/redtube.com/facebook




rozumiem, że składnia jest następująca
ipset=/[blokowana strona https]/[łańcuch]

i żeby powielać łańcuchy należy również powielać wpisy w firewall

Pobierz kod źródłowy  Kod źródłowy
ipset create [nowy łańcuch] hash:ip
iptables -I FORWARD 1 -s 192.168.0.11 -m set --match-set [nowy łańcuch] dst,src -j DROP




no i gdzie można podejrzeć zebrane IP dla blokowanych stron?

Połączony z 25 styczeń 2016 15:33:04:
po

Pobierz kod źródłowy  Kod źródłowy
service firewall restart




w logach mam

Jan 25 15:01:35 R7000 preinit: 188: /tmp/ppp/resolv.conf can't be opened
Jan 25 15:04:03 R7000 rcheck: Activating rule 1
Jan 25 15:04:04 R7000 kernel: ip_set: protocol 6

Edytowane przez qrs dnia 25-01-2016 15:33
---
Netgear R7000 [2021.2 K26ARM USB AIO-64K]
MikroTik hAP ac^2 [RouterOS v6.48.2]
TP-LINK M7650 [1.1.8 Build 201110 Rel.1026n]
 
shibby
tak, można robić kilka łańcuchów ipset. Jeżeli zaś wszystkie te domeny mają być aplikowane dla identycznej reguły iptables (dla tych samych hostów), to nie ma potrzeby je powielać.

zawartość łańcuchów podejrzeć można komendą "ipset list"
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti UAP-AC-Pro + UAP-AC-Lite
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
miniPC: DELL Optiplex 3040M i3-6100T, 8GB, 128GB SSD, Debian 10 buster
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 4

· Użytkowników online: 0

· Łącznie użytkowników: 24,063
· Najnowszy użytkownik: zunior88
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

Adooni
27-04-2021 19:52
masz watek FreshTomato-ARM - wątek deweloperski i tam wszystkie routerki wspierane. duza czest to juz uzywki wiec albo u nas w dziale gielda albo aledrogo trzeba szukac.

FarAway
27-04-2021 13:15
koledzy, uwaliłem netgeat 3500L =, kabelka nie mam ale router potrzebuje pod tomato. Co byście mi mogli zaproponować do kupienia?? jaki model

pedro
26-04-2021 00:34
Dlatego pisałem, że przy normalnym używaniu, jak coś tam jeszcze robi, będzie z 700, może 800

Rawi
25-04-2021 20:32
@schwung mam R7000 i 1gbit. Z wlaczonym CTF wycisniesz 940mb/s ale pod warunkiem ze na ruterze nie bedzie zadnych innych uslug obciazajacych CPU (bo zuzycie jest max)

adrian414
24-04-2021 11:41
Ilu klientów VPN może obsłużyć taki RT-AC3200 pracując na Merlinie albo Tomato przy OpenVPN ?

pedro
23-04-2021 12:53
Z CTF włączonym, może 700Mbits?

schwung
23-04-2021 11:03
Mam Orange Światłowód 1gbit i zastanawiam się jaki ruter z tomato mi to ogarnie z pełną przepustowością (wystarczy po kablu, bez wifi). R7000 da radę?

Maniek91PL
22-04-2021 19:13
Aa, no bo ja pierwszy raz wgrywałem dawno temu! Dla tego. Oki spróbuję przez asus firmware restoriation!

Adooni
22-04-2021 15:22
musisz poszukac softu Asus przed wprowadzeniem blokady - nie ma go na stronie ASUSa

shibby
22-04-2021 14:37
wgraj przez asus firmware restoration, nie przez GUI.

Maniek91PL
22-04-2021 11:16
siema, oco chodzi co żle robie, że mam org soft na asus ac3200, chce wgrać freshtomato najnowsze, pokazuje że nie ten soft i nie chce mi wgrać tomato Shock kiedyś robiłem tak i chyba działało

PixelPL
21-04-2021 23:12
@man1 może sprawdź pfSense, ale nie wiem czy duall wan wspiera.

man1
18-04-2021 11:54
Czy to jest wykonalne by na AC68U mieć dualwan z LB 2*600/60mbit ? Chciałbym wysycić to dużą ilością połączeń, szczególnie upload. Pytanie, czy nie lepiej kupić coś gotowego, np mtk lub podobne...

tkski
18-04-2021 00:19
może ktos mi podpowiedzieć jak dodać Temat do obserwowanych - przeglądnalem wszystkie opcje i nie mogę tego zaleźć

shibby
30-03-2021 08:25
1gbit będzie. Połączenia lokalne nie przechodzą przez router,

lolo2
29-03-2021 18:06
Pomiedzy Kompem a NASem powinna byc wymiana danych 1Gbit/s czy 100Mbit/s? (oczywiscie pomijamy wydajnosc systemu czy dyskow)

lolo2
29-03-2021 18:04
Pytanie techniczne. Jezeli mam router np. z wyjsciem LAN 100mbit, podlacze do niego switcha 1GBit. Do tego switcha podepne serwer Nas synology i Komputer PC. Pomiedzy Kompem i NAS-em powinna byc wym

44,168,459 unikalne wizyty