ทำไมไม่บล็อก ICMP


53

ฉันคิดว่าฉันเกือบจะติดตั้ง iptables เสร็จแล้วในระบบ CentOS 5.3 ของฉัน นี่คือสคริปต์ของฉัน ...

# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains

# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP

# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Block all other traffic 
iptables -A INPUT -j DROP

สำหรับบริบทเครื่องนี้เป็นโฮสต์ของแอปเว็บเซิร์ฟเวอร์ส่วนตัวเสมือน

ในคำถามก่อนหน้านี้ Lee B กล่าวว่าฉันควร "ล็อค ICMP อีกเล็กน้อย" ทำไมไม่บล็อกมันทั้งหมด? จะเกิดอะไรขึ้นถ้าฉันทำเช่นนั้น (สิ่งเลวร้ายจะเกิดขึ้น)

ถ้าฉันไม่ต้องการบล็อค ICMP ฉันจะล็อคมันลงอีกได้ยังไง?


4
iptables -A-INPUT -j DROP <ไม่ถูกต้อง (ความคิดเห็น) คุณควรตั้งนโยบายเป็น iptables -P INPUT DROP ซึ่งโดยพื้นฐานแล้วเหมือนกับการตั้งค่าเริ่มต้น ปฏิเสธโดยค่าเริ่มต้น
xenoterracide

2
ค้นหาว่าทำไมจึงเป็นความคิดที่ดีที่จะบล็อก icmp: security.stackexchange.com/a/22713/485
Rory Alsop

คำตอบ:


117

ICMP เป็นวิธีทางมากกว่า "traceroute" และ "ping" มันใช้สำหรับข้อเสนอแนะเมื่อคุณเรียกใช้เซิร์ฟเวอร์ DNS (พอร์ตที่เข้าไม่ถึง) ซึ่งในเซิร์ฟเวอร์ DNS ที่ทันสมัยอาจช่วยเลือกเครื่องที่แตกต่างกันเพื่อสืบค้นได้เร็วขึ้น

ICMP ยังเป็นไปตามที่กล่าวไว้ข้างต้นซึ่งใช้สำหรับการค้นพบพา ธ MTU โอกาสที่ระบบปฏิบัติการของคุณจะตั้งค่า "DF" (ไม่ต้องแยกส่วน) บนแพ็กเก็ต TCP ที่ส่ง คาดว่าจะได้รับแพ็คเก็ต ICMP "การกระจายตัวที่จำเป็น" กลับหากบางสิ่งในเส้นทางล้มเหลวในการจัดการขนาดของแพ็คเก็ตนั้น หากคุณบล็อก ICMP ทั้งหมดเครื่องของคุณจะต้องใช้กลไกทางเลือกอื่นซึ่งโดยทั่วไปจะใช้การหมดเวลาเพื่อตรวจหา PMTU "หลุมดำ" และจะไม่ปรับให้เหมาะสมอย่างถูกต้อง

นอกจากนี้คุณควรถามตัวเองว่าทำไมคุณจึงต้องการบล็อก ICMP คุณพยายามป้องกันที่นี่โดยเฉพาะสิ่งใด ค่อนข้างชัดเจนว่าคุณไม่เข้าใจว่าจะใช้ ICMP แบบใดซึ่งค่อนข้างธรรมดา ฉันจะระมัดระวังอย่างมากในการบล็อกบางสิ่งที่คุณไม่เข้าใจ

เพื่อให้ยากยิ่งขึ้นในการเรียนรู้เกี่ยวกับเรื่องนี้หนังสือไฟร์วอลล์ทั่วไปจำนวนมากจึงกล่าวว่า "บล็อค ICMP" - เป็นที่ชัดเจนว่าผู้เขียนไม่เคยอ่าน RFC หรือต้องแก้ปัญหาโดยรอบคำแนะนำดังกล่าว เป็นคำแนะนำที่ไม่ดีในการบล็อก ICMP ทั้งหมด

ตอนนี้อัตรา จำกัด มันยังสามารถทำร้าย หากเครื่องของคุณไม่ว่างหรือไม่เครื่องคุณสามารถรับปริมาณการใช้งาน ICMP ได้เป็นอย่างดี เว็บเซิร์ฟเวอร์ของฉันอาจได้รับแพ็คเก็ต ICMP ประมาณ 10-100 ต่อนาทีซึ่งส่วนใหญ่เป็นการค้นพบ PMTU แม้ว่าใครบางคนเลือกที่จะโจมตีเซิร์ฟเวอร์ของฉันด้วยแพ็คเก็ต ICMP บางประเภทมันไม่ได้เป็นเรื่องใหญ่ หากเครื่องของคุณยอมรับการเชื่อมต่อ TCP หนึ่งครั้ง (ssh, http, mail และอื่น ๆ ) โอกาสที่จะเป็นเวคเตอร์การโจมตีที่ใหญ่กว่า ICMP ที่เข้าใจผิดที่เคยเกิดขึ้น


4
ไม่สามารถพูดได้ดีกว่านี้อีกแล้ว +1
Massimo

9
มีICMP ประเภทหนึ่งที่อาจเป็นอันตรายredirectได้ นั่นเป็นประเภท ICMP เดียวที่คุณควรพิจารณาบล็อก
Hubert Kario

2
@Hubert redirectมันจะเป็นประโยชน์มากถ้าคุณสามารถเชื่อมโยงไปยังคำแนะนำเพิ่มเติมเกี่ยวกับการปิดกั้น ตอนนี้ฉันเข้าใจแล้วว่าฉันควรพิจารณา แต่ไม่ดีไปกว่านี้ - ยังตัดสินใจไม่ทางใดทางหนึ่ง :) มันเป็นความเสี่ยงหรือไม่?
RomanSt

ข้อความเปลี่ยนเส้นทาง ICMP บอกโฮสต์ (เราเตอร์ไม่ควรยอมรับพวกเขา) ว่าเช่นนั้นและเครือข่ายย่อยหรือโฮสต์นั้นสามารถใช้ได้ที่เกตเวย์ที่แตกต่างกัน อย่างน้อยนั่นคือสิ่งที่ RFC1122 พูด
Hubert Kario

2
ฉันเชื่อว่าการเปลี่ยนเส้นทางจะถูกเพิกเฉยโดยค่าเริ่มต้นบน linux แต่ใช่ดีกว่าเพื่อกรองอันนั้น
Fox

26

ICMP ใช้สำหรับช่วงการวินิจฉัย (เช่น ping, traceroute) และการควบคุมเครือข่าย (เช่นการค้นหา PMTU) การปิดกั้นการใช้ ICMP อย่างไม่เจาะจงทำให้ผู้อื่นอิจฉาริษยาทุกประเภทและถ้าคุณไม่ทราบว่าคุณกำลังทำอะไรอยู่คุณควรปล่อยให้อยู่คนเดียว


14

ฉันไม่เคยเข้าใจเลยว่าทำไมผู้คนถึงเลือก ICMP ดังที่ได้กล่าวไว้ข้างต้นมันทำให้เกิดอาการปวดหัวกับตัวเองและคนอื่น ๆ เท่านั้น คุณสามารถระบุได้ว่าโฮสต์นั้นใช้งานได้ง่ายเพียงพอหรือไม่และตราบใดที่มีข้อ จำกัด เพียงพอที่จะไม่ใช้เป็น DOS จากนั้นฉันไม่เคยได้ยินเหตุผลที่น่าสนใจใด ๆ มาปิดกั้น (ถ้ามีคนมาด้วยเหตุผลกรุณาโพสต์)


5
มันเป็นส่วนหนึ่งของลัทธิความปลอดภัยของข้อมูล คนด้านความปลอดภัยรู้สึกว่าพวกเขาไม่จำเป็นต้องพิสูจน์สิ่งต่าง ๆ เพราะมนุษย์ธรรมดาอาจไม่เข้าใจความหมายของความปลอดภัย ในทางกลับกันอาการปวดหัวของผู้ดูแลระบบเครือข่ายและระบบอาจมาจากความเกียจคร้านธรรมดา เพราะหากผู้ดูแลระบบรู้ว่าสิ่งที่เกิดขึ้นกับสิ่งที่จะไม่ทำลาย ...
duffbeer703

มันแปลกสำหรับฉันที่จะกำจัดเครื่องมือวินิจฉัยโดยพื้นฐานแล้วเพื่อประโยชน์ของมัน เนื่องจากข้อมูลที่ผู้โจมตีสนใจอาจเป็นไปได้โดยสมมติว่าคุณมีบริการอื่น ๆ ที่ทำงานอยู่บนเครื่อง คุณถูก; มันดูเหมือน "ลัทธิ" y มากไม่ต้องถามเลย
Antitribu

6
ฉันไม่เคยเข้าใจเลยว่าทำไมผู้เขียนหนังสือไฟร์วอลล์ดูเหมือนจะพลาดอย่างสิ้นเชิงว่า ICMP นั้นมากกว่า "ping" และ "traceroute" รวมถึงหนังสือและบล็อกและ HOW-TO ทุกคนพูดว่า "บล็อค ICMP"
Michael Graff

1
ระดับและระดับของคำตอบของคุณได้รับการโหวตอย่างถูกต้องใส่ดี ส่วนใหญ่ฉันรู้ว่าเมื่อถูกบล็อกคุณจะไม่สามารถบอกได้ว่าเกิดอะไรขึ้นกับสิ่งต่าง ๆ เป็นระยะ ๆ โดยเฉพาะอย่างยิ่งเมื่อมีบล็อก ICMP จำนวนมากอยู่ระหว่างทาง
Antitribu

8

คุณสามารถลอง จำกัด icmp ด้วยวิธีนี้ไม่สามารถใช้เป็นการโจมตี DOS ได้ แต่มีวิธีการแก้ไขปัญหาเครื่องมือมากเกินไปเช่น ping, mtr (ฉันลืม windows เทียบเท่า), traceroute (tracert) ที่ใช้ icmp การปล่อยพวกมันทั้งหมดนั้นเป็นเพียงเรื่องโง่เขลา เป็นวิธีที่ดีในการตรวจสอบว่าอินสแตนซ์ของคุณทำงานถึงแม้ว่าคุณจะไม่สามารถ telnet บนพอร์ตใด ๆ

--limit 10/second
สำหรับกฎ icmp ของคุณอาจเป็นขีด จำกัด ที่เหมาะสมซึ่งระบุว่าคอมพิวเตอร์สามารถรองรับได้มากแค่ไหน


6

นี่คือมุมมองทางเลือกในจิตวิญญาณของทฤษฎีความปลอดภัยที่จะแนะนำ โปสเตอร์อื่น ๆ นั้นถูกต้องที่การปฏิบัติด้านความปลอดภัยนั้นมักจะไม่ได้ผล

ทฤษฎีความปลอดภัยโดยทั่วไปแล้วคุณจะเปิดใช้งานเฉพาะสิ่งที่คุณต้องการ สิ่งอื่น ๆ (ซึ่งอาจมีประโยชน์ - เช่นการตอบสนองต่อการ ping) สามารถถูกใช้โดยผู้โจมตีเพื่อกำหนดขอบเขตระบบของคุณหรืออาจเป็นเวกเตอร์การโจมตีสำหรับช่องโหว่ที่ยังไม่ถูกค้นพบ

ดังนั้นเมื่อดูที่ประเภทข้อความ ICMP คุณต้องการอะไรในการทำงานปกติของระบบของคุณ

  • echo reply (ping) - ไม่มาก
  • ปลายทางไม่สามารถเข้าถึงได้ - มีข้อมูลที่เป็นประโยชน์มากมายในที่นี่ ปิดใช้งานสิ่งนี้และคุณจะไม่สามารถเข้าถึงเซิร์ฟเวอร์ของคุณสำหรับลูกค้าบางราย
  • ดับต้นฉบับ - เลิกใช้ตั้งแต่ปี 1995 และเห็นได้ชัดว่าถูกลบออกจากการใช้งานโฮสต์ตั้งแต่ (ล่าสุด) 2005. tools.ietf.org/html/rfc6633#section-1
  • เปลี่ยนเส้นทาง - เกือบจะไม่แน่นอน
  • โฆษณาเราเตอร์ & การชักชวน - ไม่จำเป็นถ้าคุณกำหนดค่าเส้นทางของคุณแบบคงที่และสามารถใช้สำหรับ DoS ฉันจะบล็อกมันเว้นแต่คุณจะรู้ว่าคุณต้องการมันและถ้าคุณต้องการมันอาจจะรหัสกฎเพื่อรับข้อมูลจากเราเตอร์ที่รู้จักเท่านั้น
  • ttl เกิน - ไม่เพียง แต่สำหรับ traceroute บอกคุณปริมาณการเข้าชมของคุณไม่ได้รับการผ่านไปยังปลายทาง

... และต่อไป หากคุณต้องการที่จะเข้าใจสิ่งนี้จริงๆไปเรียนรู้เกี่ยวกับประเภท ICMP ต่างๆและสิ่งที่พวกเขามีไว้สำหรับ บทความวิกิพีเดียเป็นจุดเริ่มต้นที่ดี

ในทางปฏิบัติสิ่งที่น่าเกลียดที่สุดก็คือการเปลี่ยนเส้นทาง หากคุณต้องการทำอะไรที่รวดเร็วและมีประโยชน์ให้บล็อกสิ่งนั้นและปล่อยให้ส่วนที่เหลือ

ฉันจะเพิ่มว่าการติดตามการเชื่อมต่อ IPtables จะอนุญาตให้ส่งคืนแพ็กเก็ต ICMP ที่เหมาะสมสำหรับการเชื่อมต่อที่ใช้งานอยู่ ดังนั้นหากคุณกำลังใช้งาน conntrack คุณควรจะสามารถบล็อกขาเข้า ICMP ส่วนใหญ่ได้ตราบใดที่คุณยอมรับแพ็กเก็ตที่เกี่ยวข้อง (ก่อนที่คุณจะบล็อก ICMP ในชุดกฎของคุณ)


2
การดับซอร์สจริงเลิกใช้แล้วตั้งแต่ปี 1995 และเห็นได้ชัดว่าถูกลบออกจากการใช้งานโฮสต์ตั้งแต่ (ล่าสุด) 2005 :) tools.ietf.org/html/rfc6633#section-1
sourcejedi

คำตอบอัพเดทแล้วขอบคุณ ถ้าฉันคิดว่าหนักขึ้นอีกนิดฉันก็จะจำได้
Dan Pritts

ฉันคิดว่า ICMP PING เป็นสิ่งจำเป็นสำหรับการค้นพบ PMTU (ซึ่งเบราว์เซอร์และเครื่องมือจำนวนมากใช้) ไม่อนุญาตเหมือนเป็นการไม่สุภาพต่อผู้ใช้ของคุณ Ping ใช้สำหรับการวินิจฉัยหลายอย่างและผู้เล่นรายใหญ่ส่วนใหญ่ก็อนุญาต นอกจากนี้ยังมีประโยชน์เล็กน้อยในการไม่อนุญาต
jjmontes

2
ไม่จำเป็นต้องใช้แพ็กเก็ต Echo (ping) สำหรับการค้นพบ PMTU การค้นพบ PMTU ทำได้โดยการตั้งค่าบิต Don't Fragment (DF) บนแพ็คเก็ตขาออกและขึ้นอยู่กับ ICMP Destination Unreachable - ข้อความที่ต้องการกระจายตัวกลับมาจากเราเตอร์ที่มี MTU ลิงค์ขนาดเล็ก Ping มีประโยชน์อย่างแน่นอนสำหรับวัตถุประสงค์ในการวินิจฉัย แต่มันก็มีประโยชน์สำหรับการสำรวจเครือข่ายและอาจเป็นไปได้สำหรับ DoS สำหรับคุณและฉันรู้ว่ามีบั๊กรีโมตรูทแฝงใน ICMP stack ใน Linux หากมาตรฐานของคุณคือ "ฉันต้องการสิ่งนี้หรือไม่" คำตอบคือ "ไม่"
Dan Pritts

1
(โปรดทราบว่าฉันเขียนไว้ในคำตอบว่าการปิดกั้นข้อความที่ไม่สามารถเข้าถึงปลายทางจะทำลายสิ่งต่าง ๆ การค้นพบ PMTU เป็นความจริงที่ฉันคิด :)
Dan Pritts

4

เป็นเครื่องมือวินิจฉัยที่มีประโยชน์สำหรับการแก้ไขปัญหาการเชื่อมต่อเครือข่าย

นอกจากนี้ยังช่วยให้คุณใช้การเชื่อมต่อที่อื่นบนอินเทอร์เน็ตที่ใช้ MTU ขนาดเล็กกว่าที่อยู่ในเครือข่ายของคุณ หากคุณพยายามส่งแพ็คเก็ตที่ใดที่มีขนาดใหญ่เกินไปและไม่สามารถแยกส่วนได้อุปกรณ์จะส่งแพ็กเก็ตและส่งการกระจายตัวของ ICMP ที่ต้องการแพ็กเก็ตกลับไปยังผู้ส่ง หากคุณวางแพ็กเก็ต ICMP ทั้งหมดคุณจะสูญเสียสิ่งเหล่านั้นและสิ่งประหลาดเกิดขึ้นในเครือข่ายของคุณ

คำถามจริงคือ "เหตุใดจึงต้องบล็อก ICMP" คุณได้อะไร มีกฎการกรองที่ดีที่ชายแดนของคุณและอยู่ข้างหน้าทรัพย์สินที่มีค่าของคุณ


3

ping เป็นเครื่องมือวิเคราะห์ที่ดีคุณจะหวังได้ในสักวัน ฉันใช้สิ่งเหล่านี้:

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

คุณอาจต้องการเค้นมันด้วย


8
นี่เป็นสิ่งที่ไม่เพียงพอสำหรับเหตุผลที่คนอื่น ๆ ชี้ให้เห็น ( ICMP เป็นวิธีที่มากกว่าแค่การ ping ) คุณควรเลือกบล็อกเฉพาะข้อความ ICMP ที่อาจเป็นอันตรายและอนุญาตข้อความควบคุมอื่น ๆ โดยไม่ผ่านการตรวจสอบ
voretaq7

2

ทุกวันนี้แม้แต่การ จำกัด แพ็คเก็ต ICMP ในฝั่งเซิร์ฟเวอร์สามารถสร้างอาการปวดหัวจากการโจมตี DDoS การโจมตีส่วนใหญ่ทำโดยการส่งคำขอ ICMP แบบหน้าต่างขนาดใหญ่ไปยังเซิร์ฟเวอร์เดียวและหากเซิร์ฟเวอร์พยายามตอบกลับแต่ละเซิร์ฟเวอร์ให้เดาว่าจะเกิดอะไรขึ้น

สิ่งสำคัญที่เรามีเซิร์ฟเวอร์ teamspeak ที่ได้รับแพ็คเก็ตที่ไม่ดีทุกวันมีสองสามวันในสองเดือนที่เรามี "อิสระ" สิ่งที่เราทำคือปิดการใช้งานอย่างสมบูรณ์ / ถูกบล็อค ICMP responces, เราไม่มีเซิร์ฟเวอร์ DNS บนเซิร์ฟเวอร์, ไม่มีเซิร์ฟเวอร์ NTP, ไม่มีเซิร์ฟเวอร์เมล, ไม่มีเซิร์ฟเวอร์ FTP, เพียงสอง Apache และ Teampeak พอร์ตทั้งหมดที่ไม่จำเป็นสำหรับบริการปิดอยู่ เราวางแผนที่จะบล็อกแม้แต่ ssh และเปิดพอร์ตเพียงสองพอร์ต วันนี้มีเรย์แบนถาวร 21k (!)

สถานการณ์คือผู้โจมตีใช้อุโมงค์ ICMP เป็นส่วนใหญ่และมีการพูดคุยกับผู้ดูแลระบบเซิร์ฟเวอร์ที่น่าสนใจน้อยมากและพวกเขาบอกว่าพวกเขามีคำขอ ICMP ของเซิร์ฟเวอร์อยู่ดังนั้นผู้โจมตีจึงใช้ช่องอุโมงค์โจมตีและโจมตีเรา ฟังดูแปลก แต่นั่นจริง

หากคุณไม่ต้องการการวินิจฉัยของเซิร์ฟเวอร์ของคุณและหากคุณสามารถปิดกั้นคำขอหรือกรองพวกเขาเพื่อปล่อยหน้าต่างขนาดใหญ่ให้ทำเช่นนั้นได้ ฉันขอแนะนำให้คุณบล็อกอย่างสมบูรณ์: จีนเกาหลีไทยตุรกีเนื่องจากที่อยู่ IP ส่วนใหญ่มาจากที่นั่น ฉันมีรายชื่อทั้งหมดของประเทศเหล่านี้ แต่เกือบทุกวันจะมีรายการใหม่จากที่นั่น

ฉันพูดในสิ่งที่ฉันทำถ้าคุณไม่เห็นด้วย - อย่าทำ เรียบง่ายเหมือนที่ โชคดี


0

อย่างน้อยที่สุดคุณควรอนุญาตให้ผ่านประเภท icmp 3 (เข้าถึงไม่ได้ปลายทาง), 4 (ดับแหล่งที่มา) และ 11 (เกินเวลา) ประเภทเหล่านี้ใช้เพื่อจัดการกับปัญหาเครือข่ายและไม่ควรถูกกรอง

iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

(ประเภทการดับแหล่งที่มาเลิกใช้แล้วในขณะนี้ แต่จะไม่ทำให้การเปิดนี้เสียหาย)


-2

ฉันอนุญาตการรับส่งข้อมูล ICMP จากอินทราเน็ตท้องถิ่นบล็อกจากอินเทอร์เน็ต ด้วยวิธีนี้เซิร์ฟเวอร์ของฉันเป็นทั้งหมด แต่มองไม่เห็นออนไลน์ (ตอบสนองเฉพาะพอร์ต SSH ที่ไม่ใช่มาตรฐาน)

iptables -I INPUT 7 -d 208.180.X.X -p icmp --icmp-type 8  -j DROP
iptables -I INPUT 8 -d 208.180.X.X -p icmp --icmp-type 0  -j DROP
iptables -I INPUT 9 -d 208.180.X.X -p icmp --icmp-type 11 -j DROP

สิ่งนี้จะแทรกเข้าไปหลังจากวนลูปแบ็คมาตรฐานก่อตั้งขึ้นในรายการที่อนุญาตของ LAN รายการที่อนุญาตของผู้ให้บริการ VOIP และ ACCEPT ของพอร์ต SSH ฉันอนุญาตการรับส่งข้อมูลที่ต้องการและทำอย่างดีที่สุดเพื่อไม่ให้เซิร์ฟเวอร์มองไม่เห็นในส่วนอื่น ๆ ของโลก


1
ฉันคิดว่าฉันเข้าใจสิ่งที่คุณพยายามจะพูด แต่มันไม่มีความสัมพันธ์กับตารางที่คุณเขียน หากคุณทิ้งประเภท ICMP เฉพาะของคุณมากกว่าสิ่งที่เกิดขึ้นกับสิ่งที่ไม่ระบุ ??? ฉันจะถือว่าเป็นค่าเริ่มต้น - อนุญาตมิฉะนั้นทำไมต้องระบุบล็อกเมื่อมันจะเป็นที่แท้จริง จากนั้นคุณระบุว่า "ฉันอนุญาตการรับส่งข้อมูลที่ฉันต้องการ" ซึ่งจะระบุว่า Default-Deny หรือ Default-Drop ... โดยทั่วไปคำตอบของคุณไม่สอดคล้องกันและทำให้เกิดความสับสนมากที่สุด
JM Becker
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.