Deze is nog niet in productie
Als je GoT-wiki wilt gebruiken moet je die uit Spider.007 zijn sig gebruiken afaik./
Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer
http://gotwiki.spider007.net/GoTwiki/Hoofdpagina dus:
[...]
Deze is nog niet in productie
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Lees ik heb een succesvolle tunnel opgezet tussen avatar en mijn bakkie. Omdat openvpn een iets andere setup hanteert dan verwacht moet ik de nummerplannen anders gaan doen. Ik ben nog geen fan van openvpn maar het werkt wel.10:22 <@TrailBlazer> woei lijkt gewoon te werken
10:22 < avatar> $ ping 10.133.2.1
10:22 < avatar> PING 10.133.2.1 (10.133.2.1) 56(84) bytes of data.
10:22 < avatar> 64 bytes from 10.133.2.1: icmp_seq=1 ttl=64 time=46.3 ms
10:22 < avatar> 64 bytes from 10.133.2.1: icmp_seq=2 ttl=64 time=41.1 ms
10:22 <@TrailBlazer>
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Whenever you find that you are on the side of the majority, it is time to reform.
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
God, root, what is difference? | Talga Vassternich | IBM zuigt
ik zal alle sollicitaties hier plaatsen en mijn keuze toelichten. Het leek me alleen wat overzichtelijker als ik ze eerst in mijn mail kreeg:
Ik heb liever dat je dat soort dingen hier bespreekt i.p.v. offsite
Waarom 2 blokken? Omdat je 2 tunnels hebt voor de redundancy? Dan is het wel mogelijk om iemand te bereiken als 1 tunnel / core eruit ligt, maar dan moet dat dus wel via een ander ip-adres?
Op IRC / in de TS gaat het alleen over "sollicitaties", hier lijk je het echter over alleen knooppunten te hebben
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
nee je snapt het nut nog niet van de twee blokken. Ik zal later nog de gedachtengang van deze beslissing toelichten. Dit gaat echter een stuk beter als er wat configs zijn.:
[...]
Waarom 2 blokken? Omdat je 2 tunnels hebt voor de redundancy? Dan is het wel mogelijk om iemand te bereiken als 1 tunnel / core eruit ligt, maar dan moet dat dus wel via een ander ip-adres?
Ik bedoel, iemand die op tunnel A ip X heeft, valt niet te bereiken op X als tunnel A eruit ligt -> DNS / bereikbaarheidsprobleem.
Of zie ik het dan verkeerd? Als het een ip-adressen-tekort zou zijn dan kun je beter 172.22/15 nemen
Ik wil overigens ook wel meedoen, maar niet als knooppunt. Het is alleen wat onduidelijk in je post of je dan ook moet mailen
Hier een strakke firewall:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| # Gooi eerst alles dicht. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Beetje open zetten. iptables -A INPUT -m state --state RELATED,ESTABLISHED iptables -A OUTPUT -m state --state RELATED,ESTABLISHED # ICMP iptables -A INPUT -i tun+ -p ICMP --icmp-type 3 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 5 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 8 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 11 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 30 -j ACCEPT # OpenVPN iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT # Border Gateway Protocol iptables -A INPUT -i tun+ -p tcp --dport 179 -j ACCEPT |
Als tegemoetkoming aan diegenen van ons die niet zo bekend zijn met iptables.
Flap
Dan zal ik ook maar gelijk gaan NATen :-):
Anders zet de common dingen die normale mensen open willen hebben (zeg 80, 21, 22) er ook in, gecomment.
Ik ben totaal niet bekend met iptables (staat al een jaar oid op mijn todo:
Anders zet de common dingen die normale mensen open willen hebben (zeg 80, 21, 22) er ook in, gecomment.
) maar als ik de regels van <randomcaps>Neo The Matrix Man</randomcaps> even bekijk vallen die er zelf ook nog wel tussen te zetten?1
2
3
4
5
6
7
8
9
10
| # OpenVPN iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT # Border Gateway Protocol iptables -A INPUT -i tun+ -p tcp --dport 179 -j ACCEPT # Verbouwen naar de gewenste service: iptables -A INPUT -i tun+ -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i tun+ -p tcp --dport 21 -j ACCEPT iptables -A INPUT -i tun+ -p tcp --dport 22 -j ACCEPT |
al had ik het dus wel goed gegokt )
[ Voor 1% gewijzigd door Paul op 26-10-2005 10:05 . Reden: typo ]
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Klopt als een bus, en je kan me ook gewoon Maurice of Mouse noemen hoor:
[...]
code:
Oftewel de Destination Port aanpassen
Let wel dat dit dus alleen het verkeer over een tunnel is (--in-interface alles dat met tun begint), je normale eth0 valt hier dus buiten. (Okee, dat laatste (-i) heb ik even opgezocht
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
| # GoT-VPN: IPTables script voor clienten. # # # eth0 = LAN # eth1 = WAN (internet) (ppp0 kan ook) # tun+ = alle tunnel apparaten # Gooi eerst alles dicht. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Beetje open zetten. iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED iptables -A OUTPUT -p tcp --syn -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED # ICMP iptables -A INPUT -i tun+ -p ICMP --icmp-type 3 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 5 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 8 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 11 -j ACCEPT iptables -A INPUT -i tun+ -p ICMP --icmp-type 30 -j ACCEPT # OpenVPN iptables -A OUTPUT -o eth1 -p udp --dport 1194 -j ACCEPT # Border Gateway Protocol iptables -A INPUT -i tun+ -p tcp --dport 179 -j ACCEPT iptables -A OUTPUT -o tun+ -p tcp --dport 179 -j ACCEPT ######################### ## NAT ## Ben geen iptables expert. ## Maar hoe kan je goed je nat chains dicht zetten? ## Is het eigenlijk wel nodig? ######################### iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -m --state ESTABLISHED,RELATED -j ACCEPT iptables -t -A PREROUTING -o eth1 -j MASQUERADE |
1
2
3
4
5
| ipfw add allow icmp from any to any via tap* icmptypes 3,5,8,11 ipfw add allow udp from any to any 1194 out via tap* keep-state ipfw add allow tcp from any to me 179 in via tap* ipfw add allow tcp from me to any 179 out via tap* ipfw add deny ip from any to any via tap* |
[ Voor 10% gewijzigd door RupS op 28-10-2005 15:34 ]
Verwijderd
).1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| vnet_if = "sis2"
vnet_ip_v4 = "1.2.3.4"
vnet_net_v4 = "1.2.3.4/29"
vix_if = "tun0"
vix_ip_v4 = "5.6.7.8"
#########################
## tun0 (vix_if), ingress
pass in quick on $vix_if inet proto tcp from any to \
{ $vix_ip_v4, $vnet_net_v4 } flags S/SA modulate state
pass in quick on $vix_if inet proto { udp, icmp } from any to \
{ $vix_ip_v4 $vnet_net_v4 } keep state
pass in quick on $vix_if inet6 proto tcp from any to any flags \
S/SA modulate state
pass in quick on $vix_if inet6 proto { udp, ipv6-icmp } from any \
to any keep state
########################
## tun0 (vix_if), egress
pass out quick on $vix_if inet proto tcp from \
{ <own_nets_v4>, $vnet_net_v4, $vix_ip_v4 } to any \
flags S/SA modulate state
pass out quick on $vix_if inet proto { udp, icmp } from \
{ <own_nets_v4>, $vnet_net_v4, $vix_ip_v4 } to any keep state
pass out quick on $vix_if inet6 proto tcp from \
any to any flags S/SA modulate state
pass out quick on $vix_if inet6 proto { udp, ipv6-icmp } from \
any to any keep state |
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Verwijderd
Zeur niet, jij hebt <insert random gui based w32 firewall>:
Er is zeker ook niet zoiets voor mijn windows bak?
Op linux in ieder geval::
FreeBSD firewall:
code:
Als iemand zin heeft om hem aan te vullen met de syn/ack checks, be my guest
1
2
3
4
5
6
7
8
9
10
| -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP -A INPUT -m state --state INVALID -j DROP -A INPUT -p tcp -m tcp --tcp-option 64 -j DROP -A INPUT -p tcp -m tcp --tcp-option 128 -j DROP |
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
dan ga ik je maar negeren ja:
[...]
OpenVPN draait prima onder Windows
edit:
Tenzij je het natuurlijk over de firewall had.. dan negeer je me maar
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Verwijderd
Mocht je er niet uitkomen; 'Agnitum Outpost' is een heerlijke win32-vuurmuur.:
[...]
dan ga ik je maar negeren ja
Had het idd over de firewall.... nouja dan moet ik maar kijken of ik wat in me NVidia Firewall wat kan regelen via de webinterface denk.... geen idee hoe dat moet trouwens
) alvast iedereen!
Ja nouja ik kijk eerst wel of het lukt met me NVidia firewall:
[...]
Mocht je er niet uitkomen; 'Agnitum Outpost' is een heerlijke win32-vuurmuur.
Beetje support mijnerzeids moet wel lukken.
[ Voor 3% gewijzigd door webfreakz.nl op 26-10-2005 16:57 ]
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Jawel hoor, WIPFW: http://wipfw.sourceforge.net/:
Er is zeker ook niet zoiets voor mijn windows bak?
"A loaf that attempts to twist it's own fate is not a loaf at all, but is, in fact, a pretzel."
Verwijderd
Mag ik vragen waarom? Is wellicht voor iedereen interessant om te weten waarom je nu voor een tap interface gekozen hebt.:
even een update. Ik heb de moed opgegeven met tunnel interfaces. Ik ben nu aan het testen met tap devices en dat ziet er al een heeeel stuk beter uit moet ik zeggen. 90% zeker dat het dit wordt. Dus een verzoek aan de mensen die aan de firewall werken. Graag aanpassen naar een tap device
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Tja meer weet ik ook niet dan dat tunnels niet lukte?
Dat haalde ik uit z'n post...
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer
. Bij voorkeur kan die database door een andere tool gevuld worden zodat ik niet elke keer vi er bij hoef te halen als er een user bij komt. Mijn perl scriptje staat hier beneden ter inspiratie.1
2
3
4
5
6
7
8
9
| #!/usr/bin/perl
$pass{"madmax"}="password1";
$pass{"avatar"}="password2";
@data=<>;
chomp @data;
if (defined($pass{"$data[0]"})) {
exit 0 if ($pass{"$data[0]"} eq $data[1]);
}
exit 1; |
[ Voor 78% gewijzigd door TrailBlazer op 28-10-2005 11:38 ]
Verwijderd
het is vrij triviaal om een tun device te bridgen met een echte interface, om zo je bgp alsnog op een cisco af te handelen. Zie ook deze pagina op de virt-ix wiki. Het opzetten van een vpn concentrator behoort denk ik niet tot de mogelijkheden van dit project tenzij je zo'n apparaat wilt sponsoren
Zo snel er gescript gaat worden, beginnen mijn nekharen overeind te komen.. zeker als er een authenticatiescript moet komen...:
dit is denk ik iets voor een volgende fase. In principe vind ik het prima ik heb alleen geen cisco tot mijn beschikking met een fw/ipsec feature set
update
op advies van r3boot heb ik gekeken naar de mogelijkheden van een username password authenticatie. Dit gaat ondertussen ook goed. Die authenticatie gaat mbv een script wat ik nu even zelf in elkaar geflanst heb, maar niet heel erg schaalbaar is.
Het script wordt aangeroepen door openvpn met als argument een filenaam. In deze file staan onder elkaar de username en password. Het programma valideert deze en exit met 0 bij een goede authenticatie en met 1 bij een foute. Mijn vraag is nu kan iemand een beter script schijven dat het wachtwoord uit de een of andere database kan halen. Nu staan de ww nog hard in het script
code:
#!/usr/bin/perl $pass{"madmax"}="password1"; $pass{"avatar"}="password2"; @data=<>; chomp @data; if (defined($pass{"$data[0]"})) { exit 0 if ($pass{"$data[0]"} eq $data[1]); } exit 1;
[ Voor 7% gewijzigd door MrBarBarian op 28-10-2005 12:18 ]
Verwijderd
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| #!/usr/bin/perl
use DBI;
@data=<>;
chomp @data;
my $dbh = DBI->connect_cached('DBI:mysql:gotvpn:localhost','gotvpn','password') or die('Can\'t connect to database');
my $sth = $dbh->prepare('SELECT username,password FROM clients WHERE username = ?');
$sth->execute($data[0]);
if($sth->rows == 1) {
@row = $sth->fetchrow_array();
if($row[0] eq $data[0] & $row[1] eq $data[1]) {
exit 0;
}
}
exit 1; |
[ Voor 17% gewijzigd door Verwijderd op 28-10-2005 15:57 ]
leef je uit zou ik zeggen. Ik kan hem ook vast wel aan de praat krijgen met ldap alleen tijd he.
heb ik net een chef authenticatie gevonden.
[ Voor 5% gewijzigd door TrailBlazer op 28-10-2005 12:56 ]
En waarom je de reeksen van AS'en koppelt aan een "core", wat als iemand nou multi-homed wil zijn? Gaat dit niet in tegen de natuur van een AS?
Voorbereiding heb ik al gehad(beide sites hadden ip-adressen in dezelfde range en ik wilde gaan routen ipv bridgen, dus 1 site omgezet naar een ander subnet, waaronder een Linksysrouter die stock mijn gewenste subnetmasker (/16) niet snapte, dus daar staat nu OpenWRT op ).
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
je hebt nooit genoeg ruimte. Maar ik had er ook best /20 van kunnen maken.:
Mag ik vragen waarom je een /16 uittrekt voor client-ip's?
ok je bent niet multihomed. Echter je hangt wel aan twee verschillende cores die elk weer aan een andere core hangen. Dus je bent nog steeds steeds redundant. Overigens vind ik het prima als mensen onderling ook koppelingen gaan maken. Alleen ze moeten niet gaan zeuren als ze opeens als Transit AS gaan fungeren en dus al het verkeer naar zich toe trekken omdat ze hun routingupdates niet onder controle houden. Zou overigens wel leuk zijn om te zien dat er een linksys router doorbrandt omdat je al het verkeer naar je toe trekt.En waarom je de reeksen van AS'en koppelt aan een "core", wat als iemand nou multi-homed wil zijn? Gaat dit niet in tegen de natuur van een AS?
nee ik hoef niet perse full meshed. mischien later
[ Voor 17% gewijzigd door TrailBlazer op 30-10-2005 20:14 ]
Geen idee wat dat inhoud, het viel me gewoon op dat je 1 lijntje miste aangezien je alles met iedereen aan het verbinden leek te zijn
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Klopt, had wat scheef gekeken
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Moet alleen wat regeltjes in de firewall zetten waardoor verkeer van GoT-VPN niet naar Zaak-VPN kan en terug
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun
)You see things; and you say, "Why?" But I dream things that never were; and I say, "Why not?"
"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!
.
)...
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
het gekke is ook als ik log_martians aanzet zie ik niks in de logs verschijnen
[ Voor 27% gewijzigd door TrailBlazer op 03-11-2005 08:10 ]
Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition
There is no such thing as innocence, only degrees of guilt | Flickr!
Misschien moeten er dan wel 4 AS-en komen?
[ Voor 24% gewijzigd door RupS op 07-11-2005 16:30 ]
Verwijderd
[ Voor 5% gewijzigd door Verwijderd op 07-11-2005 16:34 ]
het idee van een backup is vaak dat deze nooit wordt gebruikt behalve bij problemen. Dus als hij niet gebruikt zou mogen worden heeft die ook geen zin.:
We hebben nu de basis geloof ik draaien
Nog even het plaatje:
[afbeelding]
Nu hadden we het net over het volgende @ #gotvpn:
Op het moment dat ik down ga, zal al het verkeer EN het return verkeer bedoeld voor AS 65200 over BSS gaan. Op zich niet onoverkomelijk, maar wel vervelend aangezien hij backup is
uiteraard kan dit. Je kan het zo gek niet bedenken of het kan met bgp. De config wordt er hooguit een stuk complexer door maar daar zijn we niet bang voor toch. Overigens in de file naar huis heb ik ook nog over het geheel na lopen denken en ik heb nog wel een ideetje denk ik om het aantal tunnels gelijk te houden maar toch iets meer redundantie in het netwerk te brengen. maar dit moet ik nog ff helemaal uitwerken.Wat we dus eigenlijk zouden willen is dat de primaire bakken de backups kennen en vice versa. Dus ik zou nog een link moeten maken met BSS en Kritz met Trailblazer. Als we dat niet doen betekent dat ook dat als ik stuk ga, er een HOP extra komt voor verkeer van 65200 naar 65100, namelijk: "client" -> Kritz -> BSS -> Trailblazer -> andere "client"
Dus Kritz en ik dachten eigenlijk dat het wel leuk was om de kruisverbindingen ook aan te leggen
Als iemand er anders over denkt hoor ik het natuurlijk graag
--edit--
Nu zitten wij ons te bedenken dat dit idee met huidige opstelling niet werkt. Je zou dan vanuit een core op twee manieren naar hetzelfde AS gaan, ik heb te weinig bgp-kaas gegeten om te weten hoe/of dat gaat
in principe een hardstikke leuk idee. Er zal dan wel echter iemand moeten zijn die alle ip addressen en AS nr's bij houdt.:
En wat je vervolgens kan doen...
Je hebt 4 verschillende "providers" (de huidige cores) van verbindingen met het VPN. Je kunt dan bij 1 of meerdere "providers" aanmelden om op het VPN te komen en dus eventueel bij een extra provider een tunneltje nemen om de boel redundant uit te voeren. En hoe elke "provider" zijn authenticatie dan regelt is zijn zorg
Hoewel ik het zelf via een formuliertje op een webpagina zou doen. Vervolgens de userinfo in mysql kletteren en openvpn hiermee laten kletsen. De client config info kun je op het moment van authenticififirerereren direct genereren.
voor de bgp config zal ook wel e.e.a. automagisch te genereren zijn. Automagisch ASN's uitdelen enzo.
Nagios is loik op zich, alleen wel een pokke werk om op te zetten... mijn ifaces worden al becacti'd op het moment.
There is no such thing as innocence, only degrees of guilt | Flickr!
:strip_icc():strip_exif()/u/22646/crop6531f78f6a5cb_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/96747/gnu_linux_poster_60.jpg?f=community)
/u/13471/karnemelk.png?f=community)
:strip_exif()/u/851/pb_logo.gif?f=community){kind=logo}
:strip_exif()/u/8077/jerney.gif?f=community)
:strip_icc():strip_exif()/u/29534/moto-icon.jpg?f=community){kind=icon}
/u/11437/wandcontactdoos.png?f=community)
/u/26191/AC-60px.png?f=community)
/u/26983/eend.GIF?f=community)
:strip_icc():strip_exif()/u/74712/26.jpg?f=community)
/u/31090/bla.png?f=community)
/u/100867/crop5601ca928ac47_cropped.png?f=community)
/u/47968/avatargot.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/1508/sax_k.jpg?f=community)
/u/8555/Shadow_60x60.png?f=community)
:strip_icc():strip_exif()/u/47471/crop5aa6cb9f97040_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/21865/shoe_60x60.jpg?f=community)
:strip_icc():strip_exif()/u/77076/crop66a8b8feee205_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/93844/crop67fdf2118dbdd_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/56136/crop682f3922809ae_cropped.jpg?f=community)
/u/25594/teef.png?f=community)
/u/25808/avatar_60.png?f=community){kind=avatar}
