[Debian] ipmasq Port forwarden

woensdag 27 september 2006 12:06

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ik draai hier ook debian met iptables NAT routing. Mijn iptables settings zien er als volgt uit (tenminste, het zinvolle gedeelte):

code:

#!/bin/sh

echo -n Settings iptables rules ...

# flush all existing rules: start clean :)
iptables -F
iptables -F -t nat

# default accept all
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT

# enable NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#port forwarders
iptables -t nat -A PREROUTING -d <mijnip> -p tcp --dport 113  -j DNAT --to 192.168.2.4:113   # ident

echo done.

Dit is dus een (deel van) een script dat in mijn /etc/init.d/ staat zodat bij elke boot netjes de iptables settings worden opgezet. Ik heb een aantal firewall regels en een hoop extra portforwards weggelaten, maar dat zou verder niet uit moeten maken voor het voorbeeld.

Belangrijkste fout die je maakt zit em dus in de plaatsing van de -A en inderdaad het '-' teken voor PREROUTING. Verder is het blokje daarboven (enable NAT) ook redelijk belangrijk denk ik. (Heb er niet heel veel verstand van, deze file heb ik van een vriend van me die me heeft gehopen met het installeren van die server.)

[ Voor 33% gewijzigd door Orion84 op 27-09-2006 11:33 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties:

Verwijderd

Topicstarter

Bedankt, de command die je in je config file hebt staan geeft geen error, helaas werkt het nog steeds niet... moet ik de server of netwerk opnieuw starten?

[ Voor 54% gewijzigd door Verwijderd op 27-09-2006 12:12 ]

woensdag 27 september 2006 12:12

Acties:

woensdag 27 september 2006 12:13

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Verwijderd schreef op woensdag 27 september 2006 @ 12:06:
Bedankt, de command die je in je config file hebt staan geeft geen error, helaas werkt het nog steeds niet... moet ik de server of netwerk opnieuw starten?

Nee, je hoeft daarvoor niks te restarten.

Zo te zien probeer je poort 80 te forwarden, en dus een webserver te draaien achter je router. Maar hoe test je of de portforward werkt? Dat kan voor zover ik weet namelijk alleen van buiten je eigen netwerkje, dus je kan niet van achter je router. Dus in dat geval even iemand hier, of een andersoortige kennis vragen om dat te testen

Heb je het blokje erboven (enable NAT) ook gebruikt? Tenminste ik ga er even van uit dat dat er bij mij niet voor niets staat.

[ Voor 6% gewijzigd door Orion84 op 27-09-2006 12:13 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties:

Verwijderd

Topicstarter

heb ipmasq opnieuw gestart en het werkt

thnx guys.

Orion, wat is de filename waar die config in staat?

woensdag 27 september 2006 12:15

Acties:

woensdag 27 september 2006 12:20

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Verwijderd schreef op woensdag 27 september 2006 @ 12:13:
heb ipmasq opnieuw gestart en het werkt thnx guys.

Orion, wat is de filename waar die config in staat?

Bij mij is dat /etc/init.d/ipforward, maar dat is dus een custom script en volgens mij niet standaard aanwezig in Debian? Je kan iig zelf gewoon daar een file aanmaken en exact mijn code erin stoppen. Daarna natuurlijk wel de specifieke nummertjes enzo even corregeren naar jouw situatie. Hoe die file heet doet er verder weinig toe.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties:

Verwijderd

Topicstarter

okay, het heeft helaas niet werkt trouwens

ik keek verkeerd

ik ga je filetje eens proberen aan te maken

woensdag 27 september 2006 12:22

Acties:

woensdag 27 september 2006 12:37

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Verwijderd schreef op woensdag 27 september 2006 @ 12:20:
okay, het heeft helaas niet werkt trouwens ik keek verkeerd ik ga je filetje eens proberen aan te maken

Orion84 schreef op woensdag 27 september 2006 @ 12:12:
[...]
Zo te zien probeer je poort 80 te forwarden, en dus een webserver te draaien achter je router. Maar hoe test je of de portforward werkt? Dat kan voor zover ik weet namelijk alleen van buiten je eigen netwerkje, dus je kan niet van achter je router. Dus in dat geval even iemand hier, of een andersoortige kennis vragen om dat te testen

Heb je het blokje erboven (enable NAT) ook gebruikt? Tenminste ik ga er even van uit dat dat er bij mij niet voor niets staat.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties:

Verwijderd

Topicstarter

ik test het vanaf een box in amsterdam..

Het werkt trouwens nog steeds allemaal niet

woensdag 27 september 2006 12:46

Acties:

DwarV

Rekent aan het leven

Ik gebruik voor iptables een standaard script met masquerading mogelijkheden: http://lfw.sourceforge.net/

Op deze site staat ook wel vermeld hoe je dit alles moet opzetten.

[ Voor 10% gewijzigd door DwarV op 27-09-2006 12:48 ]

woensdag 27 september 2006 12:55

Acties:

Verwijderd

Topicstarter

Ik wil alleen een domme port forward

juist geen firewall..

woensdag 27 september 2006 13:12

Acties:

woensdag 27 september 2006 13:59

Karnemelk FTW

doe eens
iptables -nvL -t nat
heb je namelijk wel nat in je kernel zitten

Acties:

woensdag 27 september 2006 14:08

Karnemelk FTW

$IPTABLES -t nat -A PREROUTING -p tcp -d $modemip --dport 6112 -j DNAT --to 192
.168.0.2:6112

dit is een werkende portforward in mijn geval wel ff variabelen wijzigen enzo

Acties:

Verwijderd

Topicstarter

geeft geen error.. maar het werkt niet maar staat er wel in

debian:/# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 5285 packets, 309K bytes)
pkts bytes target prot opt in out source destination
3 192 DNAT tcp -- * * 0.0.0.0/0 mijnip tcp dpt:5900 to:192.168.123.250:5900

[ Voor 81% gewijzigd door Verwijderd op 27-09-2006 14:12 ]

woensdag 27 september 2006 17:25

Acties:

woensdag 27 september 2006 17:50

Waarom zie ik hier nu niemand iptables FORWARD doen. Iedereen is hier redelijk op de goede weg door de router poort 80 te laten accepteren. maar niemand forward poort 80 vervolgens daadwerkelijk.

/sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d xxx.xxx.xxx.xxx
--dport 80 -j DNAT --to 192.168.0.2:80
/sbin/iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.2 --dport 80 -j ACCEPT

Acties:

woensdag 27 september 2006 17:56

Karnemelk FTW

Heb je gelijk in het ging hem op de port forward. Hij zegt net dat hij geen firewall wil dus ik ga ervan uit dat alles in de FORWARD chain op accept staat. Maar bij debian kan dat wel eens anders zijn. Ook moet je dan nog ip_forward in de kernel aanzetten

Acties:

Verwijderd

Topicstarter

/sbin/iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.2 --dport 80 -j ACCEPT
ik neem aan dat eth0 de internet nic moet zijn?

Helaas doet ie het nog steeds niet

complete lijst:

code:

debian:~# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 38618 packets, 2523K bytes)
 pkts bytes target     prot opt in     out     source               destination
   17  1024 DNAT       tcp  --  *      *       0.0.0.0/0            84.105.155.102      tcp dpt:5900 to:192.168.123.250:5900

Chain POSTROUTING (policy ACCEPT 427 packets, 26172 bytes)
 pkts bytes target     prot opt in     out     source               destination
26514 1754K MASQUERADE  all  --  *      eth0    192.168.123.0/24     0.0.0.0/0

Chain OUTPUT (policy ACCEPT 427 packets, 26172 bytes)
 pkts bytes target     prot opt in     out     source               destination

Al zou iemand even in willen SSH'en.. graag

[ Voor 76% gewijzigd door Verwijderd op 27-09-2006 18:06 ]

woensdag 27 september 2006 21:21

Acties:

donderdag 28 september 2006 11:58

Ok niet goed genoeg gelezen.
Ik begrijp nu dat je gewoon een NAT wil.
Zet eerst masquerading aan op je externe interface
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE
Vervolgens je NAT
iptables --table nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.123.250

alstublieft

Acties:

Verwijderd

Topicstarter

Candymirror schreef op woensdag 27 september 2006 @ 21:21:
Ok niet goed genoeg gelezen.
Ik begrijp nu dat je gewoon een NAT wil.
Zet eerst masquerading aan op je externe interface
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE
Vervolgens je NAT
iptables --table nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.123.250

alstublieft

Thnx.. het staat er in maar toch werkt het nog steeds niet

donderdag 28 september 2006 12:11

Acties:

donderdag 28 september 2006 12:17

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Heb je dit regeltje er ook nog in staan: echo 1 > /proc/sys/net/ipv4/ip_forward

En volgens mij moet je ook in de kernel nog het een en ander aanzetten hiervoor, geen idee wat voor kernel je gebruikt en of het daar al aan staat ofzo

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties:

Verwijderd

Topicstarter

in de file ip_forward staat een 1 ja.

donderdag 28 september 2006 12:38

Acties:

donderdag 28 september 2006 12:44

Verwijderd schreef op donderdag 28 september 2006 @ 11:58:
[...]

Thnx.. het staat er in maar toch werkt het nog steeds niet

Hmmm.

Dit moet toch echt goed zijn. Dit komt uit mijn config van mijn oude router, die ik overigens niet meer gebruik.

Heb je alle oude wel geflushed?
# activeer Forwarding in de kernel:
echo 1 > /proc/sys/net/ipv4/ip_forward
# Verwijder alle huidige instellingen:
iptables -F
iptables -t nat -F
iptables --delete-chain
iptables --table nat --delete-chain
# Blokkeer om te beginnen alle ingaande en doorgaande verkeer, laat uitgaand verkeer toe:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Zet masquerading aan:
iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE
#Zet forwarding aan
iptables --table filter -A FORWARD -o eth0 -i eth1 -d 192.168.123.0/24 -s ! 192.168.123.0/24 -j ACCEPT
#Vervolgens je NAT, poort 80
iptables --table nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.123.250

Als dit alles nog niet werkt dan mis je echt iets in je kernel.

PS: eth0 is de interface naar de buitenwereld, testen doe je dus ook vanaf de buitenwereld. Dus je opent de pagina op je externe IP.

En nog een aanvulling: Benodigde kernel modules of meegebakken in de kernel:
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

[ Voor 16% gewijzigd door Candymirror op 28-09-2006 13:04 ]

Acties:

donderdag 28 september 2006 12:48

Karnemelk FTW

je moet wel forwarden lijkt me he

Acties:

donderdag 28 september 2006 13:08

TrailBlazer schreef op donderdag 28 september 2006 @ 12:44:
je moet wel forwarden lijkt me he

Je hebt gelijk. laatste toevoeging.

iptables --table filter -A FORWARD -o eth0 -i eth1 -d 192.168.123.0/24 -s ! 192.168.123.0/24 -j ACCEPT

deze moet voor je poort 80 prerouting

[ Voor 36% gewijzigd door Candymirror op 28-09-2006 13:05 ]

Acties:

donderdag 28 september 2006 14:00

Karnemelk FTW

volgens mij wel. Ik heb een portforward naar mijn AP gemaakt en als ik het specifieke adres drop in de forward chain werkt dat niet meer.

code:

1
2
3

$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 6115 -j DNAT --to 192.168.0.253:80
$IPTABLES -A FORWARD -i $saveint -o $modemint -d 192.168.0.253:80 -j ACCEPT
$IPTABLES  -t nat -A POSTROUTING -o $saveint -d 192.168.0.253 -j MASQUERADE

dit werkt wel

code:

1
2
3

$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 6115 -j DNAT --to 192.168.0.253:80
$IPTABLES -A FORWARD -i $saveint -o $modemint -d 192.168.0.253:80 -j DROP
$IPTABLES  -t nat -A POSTROUTING -o $saveint -d 192.168.0.253 -j MASQUERADE

dit werkt wel. Ook volgens de netfilter docs zou dit zo moeten.

Acties:

Verwijderd

Topicstarter

thnx Candymirror ,

Net vanuit ssh iptables -F uitgevoerd.. hele box is nu down

ook vanaf internet kant.

moet ik alles in 1 file stoppen en dan runnen? hoe doe ik dat?

[ Voor 23% gewijzigd door Verwijderd op 28-09-2006 14:01 ]

donderdag 28 september 2006 14:19

Acties:

donderdag 28 september 2006 14:25

Karnemelk FTW

gebeurt idereen wel een keer. maar ikheb een file met de volgende inhoud

code:

IPTABLES=/sbin/iptables
saveint="eth0"
saveip="192.168.0.254"
modemip="externe ip"
modemint="eth1"
savenet="192.168.0.0/24"
echo "Enabling forwarding"
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "Clearing eveything already specified"
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -F SYN
$IPTABLES -X SYN
$IPTABLES -N SYN
$IPTABLES -F ICMP
$IPTABLES -X ICMP
$IPTABLES -N ICMP
$IPTABLES -t nat -F

#WarcraftIII
$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 6112 -j DNAT --to 192
.168.0.2:6112
$IPTABLES -t nat -A PREROUTING  -p udp -d $modemip --dport 6112 -j DNAT --to 192
.168.0.2:6112
$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 6113 -j DNAT --to 192
.168.0.2:6113
$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 6114 -j DNAT --to 192
.168.0.2:6114
$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 6115 -j DNAT --to 192
.168.0.253:80
#ftp when needed
#$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 20 -j DNAT --to 192.
168.0.1:20
#$IPTABLES -t nat -A PREROUTING  -p tcp -d $modemip --dport 21 -j DNAT --to 192.
168.0.1:21

#input_syn
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 80 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 3306 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 3128 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 5000 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 22 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 21 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 20 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 25 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 443 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 389 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 993 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 1194 -j ACCEPT
$IPTABLES -A SYN -i $modemint --protocol tcp --dport 2345 -j ACCEPT
$IPTABLES -A SYN -j DROP
#icmp_in
$IPTABLES -A ICMP -i $modemint --protocol icmp -j ACCEPT
$IPTABLES -A ICMP -j DROP

#general input

#$IPTABLES -A INPUT -i $modemint -d $modemip -s 217.66.118.164/32 --protocol udp
 -j ACCEPT
$IPTABLES -A INPUT -i $modemint -d $modemip -m state --state ESTABLISHED,RELATED
 -j ACCEPT
$IPTABLES -A INPUT -i $modemint --protocol tcp  --syn -j SYN
$IPTABLES -A INPUT -i $modemint --protocol icmp  -j ICMP
$IPTABLES -A INPUT -i $saveint -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
#udp allowed ports
$IPTABLES -A INPUT -i $modemint -d $modemip --protocol udp --dport 53 -j ACCEPT
#$IPTABLES -A INPUT -j LOG --log-level warn

$IPTABLES -A FORWARD -i $modemint -o $saveint -m state --state ESTABLISHED,RELAT
ED -j ACCEPT
$IPTABLES -A FORWARD -i $saveint -o $modemint -j ACCEPT
$IPTABLES -A FORWARD -i $modemint -o $saveint -j ACCEPT

$IPTABLES -A OUTPUT -o $saveint -j ACCEPT
$IPTABLES -A OUTPUT -o $modemint -j ACCEPT

$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES  -t nat -A POSTROUTING -s $savenet -o $modemint -d ! 10.0.0.138 -j MAS
QUERADE
$IPTABLES  -t nat -A POSTROUTING -o $saveint -d 192.168.0.253 -j MASQUERADE
#$IPTABLES  -t nat -A POSTROUTING -s $savenet -o $modemint -j MASQUERADE
#$IPTABLES  -t nat -A POSTROUTING -j LOG
#$IPTABLES  -t nat -A POSTROUTING -j MASQUERADE

vervolgens doe je chmod 700 filenaam
dna kan je dat scriptje runnen alle rules worden geflushed en alles opnieuw geladen. Omdat alles in een script staat wordt alles uitgevoerd.

Acties:

donderdag 28 september 2006 14:31

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

* Orion84 vraagt zich af wat dit alles toevoegt aan de simpele en werkende iptables config die ik helemaal aan het begin al postte

Orion84 in "[Debian] ipmasq Port forwarden"

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties:

donderdag 28 september 2006 15:23

Karnemelk FTW

niks maar de TS kan alle hulp gehouden en mischien is het wel handig

Acties:

Verwijderd

Topicstarter

candy, Jou in info in zon script runnen heeft zelfde gevolgen.. alle verbindingen houden er mee op.
alles achter elkaar los invullen behalve iptables -F doet ie wel allemaal maar werken ho maar

TrailBlazer, Ik snap geen hond van jou file met allemaal vage IPs erin..geen nut om te proberen want ik doe ongetwijfeld iets fout.

[ Voor 17% gewijzigd door Verwijderd op 28-09-2006 15:26 ]

donderdag 28 september 2006 15:43

Acties:

donderdag 28 september 2006 15:51

Karnemelk FTW

lees dan eerst maar eens de howto's door alle voorbeelden hier kloppen gewoon de netfilter howto is bijzonder duidelijk als je er ven de tijd voor neemt.

Acties:

Verwijderd

Topicstarter

Ik hou er mee op, er hebben al 5 mensen van #linux @efnet naar gekeken en hun kwamen er ook niet uit..

Score 1 windows
score 0 linux

Bedankt voor jullie hulp.

donderdag 28 september 2006 16:53

Acties:

donderdag 28 september 2006 16:56

Karnemelk FTW

no offense maar zo moeilijk kan het echt niet zijn. Het lijtk me sterk als ik dit niet binnen 30 minuten op kan lossen als ik op die bak zit. Je ziet dat hij pakketjes transleert naar een andere destination.
iptables -nvL en iptables -nvL -t nat zou voldoende moeten zijn om te zien waar het mis is.
Overigens is mijn voorbeeld niet zo ingewikkeld. Ik gebruik alleen veel variabelen omdat ik wel eens van netwerk wil veranderen en dit is dan veel eenvoudiger

[ Voor 21% gewijzigd door TrailBlazer op 28-09-2006 16:54 ]

Acties:

Verwijderd

Topicstarter

Wat is je MSN adres of zit je op irc?

donderdag 28 september 2006 17:12

Acties:

donderdag 28 september 2006 17:21

Karnemelk FTW

stuur maar ff een mail naar mijn mail uit profiel dan antwoord ik wel ff met mijn MSN naam of zet ff Direct messages aan

[ Voor 14% gewijzigd door TrailBlazer op 28-09-2006 17:13 ]

Acties:

Verwijderd

Topicstarter

done

donderdag 28 september 2006 19:56

Acties:

donderdag 28 september 2006 19:59

Karnemelk FTW

uiteindelijk werkt het. Er stond wel een related en established in de FORWARD chain maar geen voor SYN pakketjes staat er nu zo bij

code:

1 2	3 140 ACCEPT tcp -- * * 0.0.0.0/0 192.168.123.250 tcp dpt:21 flags:0x17/0x02 87805 56M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

Acties:

donderdag 28 september 2006 20:14

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Hoe komt het dan dat die file van mij niet werkte

want daar wordt helemaal niks gedropped aan die FORWARD chain, waardoor je die ook niet appart hoeft te gaan accepten.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties:

donderdag 28 september 2006 22:00

als er al een forward chain is moet je een nieuwe toch toevoegen als een EXTRACHAIN?
dat zo de hele problematiek kunnen verklaren.

Let wel het is voor mij allemaal niet zo heel erg helder meer. Ik heb nog gwerkt met ipfwadm en ipchains

[ Voor 29% gewijzigd door Candymirror op 28-09-2006 20:16 ]

Acties:

donderdag 28 september 2006 23:24

Karnemelk FTW

Orion84 schreef op donderdag 28 september 2006 @ 19:59:
Hoe komt het dan dat die file van mij niet werkte want daar wordt helemaal niks gedropped aan die FORWARD chain, waardoor je die ook niet appart hoeft te gaan accepten.

De policy in de forward stond op drop. Er was wel een rule die Established door liet maar geen voor NEW. Die heb ik toegevoegd en toen werkte het

Acties:

vrijdag 29 september 2006 07:39

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

TrailBlazer schreef op donderdag 28 september 2006 @ 22:00:
[...]

De policy in de forward stond op drop. Er was wel een rule die Established door liet maar geen voor NEW. Die heb ik toegevoegd en toen werkte het

In mijn file (derde post in dit topic) werd niks gedropt op de FORWARD chain, dat kwam pas later aan bod in die configs van jou en candymirror?

[ Voor 6% gewijzigd door Orion84 op 28-09-2006 23:25 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Acties: