avatar Ubuntu Настройка прокси-сервера SQUID+простой контент фильтр на Ubuntu Server 10.04 / 10.10

Использование прокси серверов оправдано в локальный сетях в том случае, если скорость соединения не очень высока или есть необходимость контролировать работу сотрудников в интернет-в общем под эти требования можно подогнать, в принципе, любые задачи. Короче, прокси-серверу быть!

SQUID считается огромным монстром, но если его освоить, то он работает как часы, даже в крупных сетях. С его помощью можно крутить сетевые запросы пользователей так, что неподготовленному человеку становится дурно от избытка информации. Переходим от слов к делу.
В этой статье я постараюсь рассказать как настроить кеширующий прокси-сервер для локальной сети, дополнительной возможностью блокировки сайтов, взрослой тематики.
Установка сервера проста до безобразия:

sudo apt-get install squid


Правим файл конфигурации:
sudo nano /etc/squid/squid.conf


По умолчанию SQUID использует для работы порт 3128, но нам необходимо сделать так чтобы не было необходимо перенастраивать каждого клиента, для этого необходимо использовать прозрачное проксирование, по этому нам в строку определяющую порт, необходимо добавить transparent, чтобы все конфиге это выглядело:

http_port 3128 transparent


Находим следующий блок:
#acl localnet src 10.0.0.0/24 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network


Для повышения безопасности сервер будет обслуживать запросы только из локальной сети, IP адреса в моей локальной сети из диапазона 192.168.1.0/24,
Где: 192.168.1.0-подсеть, /24-количество бит в маске-идентификаторе сети (255.255.255.0)

#acl localnet src 10.0.0.0/24 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network


Разрешаем доступ из localnet:
http_access allow localnet


Находим и раскоментируем, правило кеширования
cache_dir ufs /var/spool/squid 4096 32 256

Здесь все можно оставить как есть.

Если на сервер не много оперативной памяти-1Gb то имеет смысл установить лимит ее использования, нашим сервером. Нам необходимо найти и раскоментировать:

memory_pools on
memory_pools_limit 50 MB
50мб установлено по умолчанию, у меня используется это значение-вполне нормально работает.

Для уведомления пользователей об ошибках можно установить страницу ошибок на русском задается она в параметре error_directory и установить кодировку Windows-1251, для желающих можно зайти в директроию /usr/share/squid/errors/ и там посмотреть список папок.

error_directory /usr/share/squid/errors/Russian-1251


На этом основная настройка закончена, сохраняем изменения выходим.
Нам необходимо перестроить кеш который хранится в /usr/sbin/squid

sudo /usr/sbin/squid -z
sudo /etc/init.d/squid start


Технически сервер работает и готов к использованию и данной, минимальной конфигурации, вполне хватит для тестов, но он висит на порту 3128 к которому http запросы никаким образом не попадают, для этого нам необходимо завернуть порт 80 и 8080 на 3128 где их примет Squid и обработает.

Лезем в файл rc.local
sudo nano /etc/rc.local


В локальную сеть у меня смотрит интерфейс eth2 IP которого 192.168.1.1
В сеть провайдера eth1, из этих условий вытекает то что указано ниже:

iptables -t nat -A PREROUTING -i eth2 ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.1:3128


Добавляем это в rc.local заменив IP адрес шлюза на тот что используется в вашей сети.
Перезагружаем шлюз чтобы настройки применились, можно конечно перезапустить rc.local, но иногда возникают непонятные глюки, которые отнимают много времени. Намного быстрее перезагрузить систему!

Проверяем на любом клиентском ПК интернет должен работать, без дополнительных настроек браузера.
В целом кеширование данных передаваемых из сети, а также DNS запросов от пользователей, будет производиться, но нам необходимо заблокировать, некоторые сайты и создать нечто, похожее на контент-фильтр.

Собирать в «рукопашную» доменные адреса порников- довольно утомительное и неблагодарное занятие, быстрое гугление выдало базу URL адресов, которые были рассортированы по категориям, меня интересовала категория adult, база занимала 14Мб -для текстового файла, реально много, попытка скормить ее? как есть Squid, с треском провалилась прокси-сервер просто отказывался запускаться.
Пришлось немного поработать руками, были удалены дублирующиеся записи и домены находившиеся на бесплатных хостингах типа narod.ru, pochta.ru и прочих, т.к. размещение сайтов данной тематики, является нарушением условий использования, то они довольно быстро прибиваются администрацией этих ресурсов, зачастую, они там живут не более месяца, а места занимают много.
Для простоты обслуживания я их рассортировывал по доменным зонам com, ru, net, org. Для тех кто будет использовать мои наработки, то их можно копировать как есть, все названия и расширения из данной статьи сохранены.
В результате удалось сократить размер файла до 1,7Мб, конечно многое пришлось выкинуть, но на эффективность рабы это не сильно повлияло.

Теперь нам необходимо добавить правила для заблокированных сайтов
sudo nano /etc/squid/squid.conf


И добавляем туда следующее:

acl ru url_regex "/etc/squid/ru.acl"
acl com url_regex "/etc/squid/com.acl"
acl org url_regex "/etc/squid/org.acl"
acl net url_regex "/etc/squid/net.acl"

http_access deny ru
http_access deny com
http_access deny org
http_access deny net


Для тех кто использует файлы из архива, их достаточно скопировать в /etc/squid/.
Чтобы заблокировать сайт достаточно добавить его в один из файлов и перезагрузить squid.
Перезапускаем Squid:
sudo /etc/init.d/squid stop
sudo /etc/init.d/squid start


Пробуем перейти с клиентского ПК по первому попавшемуся адресу из списка, должны получить сообщение что доступ заблокирован-значит все сделано правильно.

70 комментариев

avatar
Добрый день.
Не подскажите как настроить squid для одной сетевой карты. То есть. Сервер подключен к маршрутизатору. Ip сервера 192.168.10.5/24. Локальные пользователи на 192.168.9.0/24. Весь трафик между 192.168.10.0/24 и 192.168.9.0/24 через маршрутизатор. Сам сервер имеет доступ через маршрутизатор в интернет. Проблема как настроить squid на сервере 192.168.10.5.
комментарий был удален
avatar
не совсем понял как это работает
Вот что пришло на ум прочитав ваш комментарий-я все правильно понял?

<--192.168.9.0/24---->|ROUTER|<---192.168.10.0/24--network clients--->
                                                   <---|squid server (192.168.10.5)|
avatar
192.168.9.0/24-network clients-->|router internet ADSL juniper|<-----192.168.10.0/24-server

Посути squid нужен как кэш прокси для сетки 192.168.9.0/24
avatar
необходимо в настройках DHCP указать что шлюзом для сети 192.168.10.0/24 является наш прокси-сервер, а в настройках сетевого интерфейса прокси-сервера указать что шлюз находится на роутере который смотрит в интернет, тогда все пакеты от клиентов будут приходить на проксю, а она их уже перекидывать на роутер, соответственно роутер будет возвращать пакеты прокси-серверу, а тот их кешировать и выдавать клиентам.
Объяснение конечно топорное, но общий смысл я думаю понятен.

Рекомендую для прочтения материалы по основам сетевой маршрутизации.
avatar
Хорошо понятно, а конфиг iptables Вы показали для того чтобы прокси был прозрачный?
avatar
howitmake/uploads/arh/block_sites.zip — скачать не удаётся.
может поправите howitmake на howitmake.ru
avatar
Спасибо!
Поправил.
avatar
Возможны ли конфликты при поднятии на Ubuntu Server одновременно:
1. Файловый сервер smb (для локальных пользвоателей 1С)
2. Кеширующий прокси (для локальных пользователей)
3. Фтп-сервер (для обмена с удаленными складами)
4. Веб-сервер (для создания корпоративного сайта, доступного из внешнего мира знающему выделенный IP)
5. SSH-сервер (для удаленного администрирования)

Какие требования к системному блоку желательно выполнить, чтобы все работало без сбоев.
avatar
Конфликтов быть не должно т.к. это разные службы они используют разные порты для работы, если вы конечно не поменяете их сами, но только в этом случае!

Чтобы все работало без сбоев, а у вас судя по требованиям, попадает в нормальный такой продакшн, да и фирма у вас торговая, то имеет смысл купить нормальный сервер, на серверных комплектующих для него нормальный UPC+взять простой NAS для бэкапов или собрать на основе декстопного железа и хардов большого объема поставив на него FreeNAS(но это если совсем бюджетно), думаю что смысл уловили.
В общем, в вашей ситуации порядок действий следующий:
1-Сервер, думаю что самого бюджетного вам хватит за глаза к нему 3-4 Гб ОЗУ, RAID контроллер,4-HDD(объем зависит от размера хранимой информации)RAID массив 10го уровня
2-UPS Не жалеть денег, купить мощный ИБП думаю что APC Back-UPS Pro BR1500GI, 1500ВA вам хватит вполне (но его мощность зависит от мощности БП сервера!) Из этих характеристик его и нужно выбирать, а как его настроить под Linux прочитать можно в этой статье
3-NAS Не ленитесь его купить и настроить т.к. стоимость формации зачастую выше, чем стоимость самой железки, а в случае сбоя ПО или железа на сервере, вас спасет только регулярное АВТОМАТИЧЕСКОЕ резервное копирование. И не храните резервные копии на том же сервере, это не правильно. В общем -регулярное резервное копирование-залог хорошего сна и безгеморойного проведения отпуска под пальмой с выключенным телефоном! :)
avatar
Надо ли дописывать маршрутизацию между интерфейсами (net.ipv4.ip_forward=1)?
Настроил всё по статье, не работает, позже выложу конфиги…
avatar
не требуется
avatar
Можно более подробно описать, что делают правила iptables?

iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128

-t nat – используем таблицу преобразования сетевых адресов
-A PREROUTING – вносим изменения на входе в шлюз
-i eth2 – интерфейс с которого получен пакет
-p tcp указываем протокол
-m – подключаем расширения для tcp
--dport – порт назначения
-j – описание того, что нужно выполнить переход
DNAT — преобразуем адреса места назначения в IP заголовке пакета
--to-destination — указываем, какой адрес подставлять к качестве адреса назначения

т.е. все пакеты с внутреннего интерфейса прокси с порта 80 попадают на тот же интерфейс, но на порт 3128? (я понимаю, что туплю, но только начал разбираться с linux...), что здесь делает DNAT, если интерфейс один и тот же.
все пакеты с внешнего интерфейса с 80 порта перенаправляются на порт 3128 (на порт какого интерфейса eth1 или eth2?)
avatar
Идея проста, все пакеты с порта 80 перенаправить на порт 3128, там их подхватит SQUID
avatar
В чём может быть проблема, если я вписываю адрес прокси в IE, то всё работает и SquidGurad тоже, как только я дописываю правила для iptables и выключаю настройку прокси в IE, то инет прекращает работать. 2 статических интерфейса eth1(WAN) и eth2 (LAN)

iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.244.252:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

читал в инете, везде описывают такие же правила, но у меня не работает, в какую сторону смотреть?
avatar
Откровенно говоря, тут только на уровне догадок, самая первая-криво работающая ОС.
Проверяйте работоспособность iptables
avatar
не могу сопоставить данный сайт со списком запрета «RU» www.roskazna.ru/, отключаю ограничение именно по RU все работает, включаю — доступ запрещен.есть идеи?
avatar
может там у вас в списке проскакивает .ru?
avatar
Список ваш, я разобрался, блокирует по маске zna.ru, но поставив точку(.zna.ru) ничего не меняется, помогло тока www.zna.ru
avatar
обалдеть…
avatar
А использование баз адресов такого размера не замедляет сильно скорость работы?
avatar
Конечно замедляет, но не думаю что очень сильно. Хотя производительность, с базой и без нее, я не тестировал.
А «на глаз» не заметно.
avatar
может есть опыт настройки рядом со сквидом фрокса? буду очень благодарен.
avatar
к сожалению не сталкивался, задач таких не ставилось.
avatar
задача была следжующая, раз в неделю копировать 2-3 конкретных файла с фтп сервака.
Что бы не мутит фрокс я наколхозил — запихал wget в cron на самом проксике и расшарил, а на нуждающемся компе сделал cmdху для копирования данных файлов.
avatar
У меня вот какой вопрос. Пришлось тут переписать заново конфиг сквида и роутинг после того как влез очередной «спец». Теперь не блочатся сайты по спискам. может это быть из за неправильно настроенного роутинга?

iptables -F
iptables -t nat -F
iptables -t nat -A PREROUTING -s 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A POSTROUTING -j MASQUERADE
exit 0
avatar
Специалисты, они такие специалисты… :(
Роутинг тут не причем, необходимо проверить что пользователи ходят через проксю, по сути, вы вообще можете «выпилить» маршрутизацию из iptables, интернет будет работать только у тех кто ходить через SQUID.
Для проверки, можно все это закомментировать (#) в rc.local, а на пользовательских ПК проверить настройки браузера, прописан ли там ваш прокси-сервер, ну и за одно чтобы порт был указан правильный, который слушает SQUID.
avatar
squid настроен как прозрачный прокси. А роутинг вроде бы и настроен, что бы все ходили в инет только через сквид и только по 3128
avatar
повторяю еще раз.
Роутинг не нужен, достаточно сделать перенаправление портов
вот для примера:
iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
avatar
а получится ли SQUID настроить в убунту 12.04 по этому мануалу?
шлюз настроен по вашим мануалам «Настройка шлюза локальной сети, на базе Ubuntu 12.04 „

за ранее спасибо ВАМ!
avatar
или где то по другому надо прописывать?
avatar
А можно запретить доступ ко всем сайтам, акромя указанных?
avatar
конечно, там трафиком можно управлять- как вашей душе угодно.
Обратитесь к документации по SQUID…
avatar
Здравствуйте!
Хочу поблагодарит Вас за ваши статьи, очень полезные.
В общем настроил шлюз в убунту 12,04 все работает как часы, хотел бы у вас уточнит кое что:
1, Возможно ли контралировать интернет в организации с помошью убунту 12,04 (на том же шлюзе что я настроил), к примеру в день такому такому то пользователю добавить 200 мб, с 09-00 до 18-00 после чего ограничение отключается, какие то сайты отключить к примеру порно сайты, и скорость резать кому то из пользователей?
2, настроить самбу для Убунту 12,04, к примеру у меня это все работает в винде сервиспак3 но глючит на нем винда, так как там было и шлюз и файловый сервер, вообщем у меня такая схема было:

1 шлюз был поднять на Windows XP3 professional
2. Файловый сервер, то есть на диске \\: Е (1.ТБ)
и внутри жесткого диска есть папки:
folder-1
folder-2
folder-3 и так далее в общем на всех папок только шеф имеел доступ с чтением и с записью с удалением, а др пользователи имели доступ к какому то а к какому то не имеют.
3. на том же винде еще и есть 3-жесткий также ТБ и там бекапится файлы с диска Е с помошью программы Акроникс.

в общем мне в первую очеред важно узнать возможно ли контраливать юзеров, в принципе слышал что да возможно, но ни где не могу найти нормальную статью

буду благодарен если вы ответите спасибо.
avatar
Все это возможно, но необходимо SQUID интерферировать с AD, а то как вы будите пользователей отличать друг от друга?!
Файловый сервер SAMBA, статья по ее настройке есть, только необходимо расставить необходимые права доступа howitmake.ru/blog/ubuntu/11.html
avatar
Здравствуйте
Чтобы настроить квоты на пользование интернетом, нужно настроить авторизацию, иначе как вы отделите одного пользователя от другого
По поводу файлового сервера, все это решается правами доступа на папки.
avatar
а чуть не забыл, этот файловый сервер у меня еще пашет но только как файловый сервер, а шлюз у меня сейчас в убунте 12,04 работает по вашей же статьи все настроил. у меня там еще есть и ФТП — файлзилла не как не могу понять как мне удаленна из дома зайти на файловый сервер, то есть через свой убунту зайти на файловый сервер… думаю я Вам уже надоел со своими вопросами.
avatar
зайти можно по IP или по имени, если прикручен домен
avatar
а как необходимо SQUID интерферировать с AD? вы можете пояснить что значит необходимо SQUID интерферировать с AD?
и в обще есть ли статья что бы это дело у меня заработало?
avatar
Тема с интеграцией SQUID с AD весьма не простая, об нее многие споткнулись, я планирую статью написать, но когда она будет готова я пока не знаю…
avatar
Файловый сервер SAMBA, статья по ее настройке есть, только необходимо расставить необходимые права доступа

а там есть как расставить необходимые права доступа?
avatar
Права доступа расставляться в соответствии с вашими представлении об уровнях доступа и политике безопасности у вас в компании.
Я, к сожалению, не телепат и не знаю что и куда у вас там ;)
avatar
В общем с САМБОЙ понятно, за что спасибо Вам!!!
А кроме SQUID с AD, нет еще другого пути, вот смотрите в винде по разному это дело можно сделать к примеру, Кери, Вин-гейт, Лан2нет, а вот как рас у меня и был установлен Лан2нет, конечно не стабильно работает но лучше что то, чем не чего, за то юзери знали что если будут что то скачивать у них инет отключится. В принципе не мне Вам говорит, Вы и так знаете, о чем я говорю))) Просто я вот думаю да, что есть Линукс, сервре говорят все там имеется, есть мануалы всякие и про все… а вот именно про контроля не где не нашел, как все это дело сделать, в общем имею ввиду.
avatar
Если нет других вариантов, то у вы придется ждать когда у Вас время будет написать про это дело статью.
Ну не чего буду ждать:)))
avatar
почему файл sudo nano /etc/squid/squid.conf пустой?
avatar
не знаю.
avatar
Здравствуйте!
Настроил DNS DHCP BIND по вашим статьям Интернет работает без проблем спасибо вам.
Подскажите как настроить SQUID для такой ситуации 1юзеру — запретить интернет кроме определенных сайтов и почты(mozilla thuderbird)
2юзеру разрешить только почту(mozilla thuderbird)
остальным раздавать интернет без запретов.

Если можете то подскажите пожалуйста про перенаправленные порты Нужен доступ для радмина с внешки.

мой rc.local
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.60:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.60:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
exit 0

С Squid кода можно сказать нет так как я там абру катабру сделал и удалил все.
сеть 192.168.1.0

есть вот такой squid но как его завернуть под мои нужды?
avatar
http_port 127.0.0.1:8080
http_port 192.168.1.60:8080 transparent
visible_hostname router
cache_mgr ****@gmail.com

cache_access_log /var/log/squid/access.log
logfile_rotate 31

acl all src 0/0
acl our_networks src 192.168.1.0/24
acl localhost src 127.0.0.1
acl Buh src 192.168.1.17
acl Reception src 192.168.1.26
acl Nalogi dstdomain .cabinet.salyk.kz
acl Balans dstdomain .balans.kz
acl R_B dstdomain .mail.rambler.ru
acl SitesRegexRuKz dstdom_regex \.ru$ \.com$ \.kz$ \.net$ \.org$ \.ua$ \.by$ \.su$
acl Rambler dstdomain .mail.rambler.ru
http_access allow Buh Nalogi
http_access allow BuhBalans
http_access allow R_B
http_access allow Reception Rambler
http_access allow Buh Rambler
http_access deny Reception SitesRegexRuKz
http_access deny Buh SitesRegexRuKz
http_access allow our_networks
http_access allow localhost
http_access deny all
avatar
давно уже с ним не работал, сейчас не вспомню точно, но поиск рулит, проблема не сложная
avatar
/etc/squid3/squid.conf вроде как теперь
avatar
или я что то не то установил ?;)
avatar
так вы на дату публикации посмотрите… ;)
avatar
Сделал всё по инструкции, но сайты не режет!
Не пойму, куда глядеть, как проверить?..
Как отследить, что редирект портов происходит корректно?
Т.е. такое чувство, что пакеты не ходят через squid — хоть запущен, хоть остановлен — инет есть, сайты открываются.

Убирал squid.conf файл и создавал с нуля новый, заполнял только настройками из статьи — не работает.

Помогите разобраться!
avatar
Для начала, попробуйте в браузере прописать подключение через прокси-сервер и добиться стабильной работы функционала, а пере направление портов можно сделать позже…
avatar
Artful вы можете показать содержимое своих файлов rc.local, interfaces и squid.conf?
interfaces это тот который /etc/network/. Был бы весьма признателен!!! Где то втупляю и не могу понять где…
avatar
К сожалению, тот сервер был стерт, еще в прошлом году. Так что делиться мне нечем, извините.
avatar
так вы бы свои выложили, общественность и уважаемый ТС что-нибудь да подсказали бы
avatar
Добрый день, ситуация такая же как и у vmcovalenko. Есть клиенты — 10.10.0.0/22, есть проки — 10.0.0.3 и router — 10.10.0.50. Надо сделать так, чтобы трафик от клиентов шел сначала на router, с router на прокси, с прокси в интернет через router. И соответсвенно входящий трафих с router на прокоси, с прокси на router, с router к клиентам.
Было предложение трафик направлять сразу на прокси, а после к route, т.е у клиентов шлюх прокси, у прокси шлюз router. Но мне такая ситуация не подходит, так как имеются еще серверы, которые обслуживают тех же клиетов, подскажите, что можно сделать.
avatar
адрес прокси не 10.0.0.3, а 10.10.0.3
avatar
не вижу сложностей, настройте маршрутизацию между сетями и ставите проксю по!!! примерной!!! схеме, а настройках браузеров клиентов прописываете адрес прокси-сервера
(INTERNET) — |ROUTER| — |PROXY | — |ROUTER| — ( LAN )
avatar
1. Прокси прозрачный
2. ROUTER всего один
avatar
Между PROXY и LAN нет ROUTER, PROXY и клиенты в одной сети
avatar
Какая разница, настраиваете проксю, прописывайте в браузерах клиентов адрес прокси-сервера, прокси сервер отправряет все запросы на тот шлюз, который у него прописан, в настройках сети.
Статья об этом и написана…
avatar
Прозрачный прокси-сервер — клиенты не знаю про существование прокси, поэтому в браузере у них нет никаких настроек
avatar
Они отправляют запрос на маршрутизатор, а он уже перенаправляет на поокси
avatar
Тогда настраивайте port mapping на проксю, например 80го порта т.к. SSL соединение не очень хорошо на это реагирует
avatar
Тогда смотрите в сторону WPAD, самый надежный и простой вариант
avatar
немного изменилась схема, на один порт ROUTER повесли два IP из разных подсетей, настроил маршрутизацию на ROUTER. Теперь трафик проходит по схеме, при ответе клиенту прокси пересылает трафик сразу на клиенов, а должен на ROUTER, а он в свою очередь клиетам
avatar
если у вас пользователи и прокси-сервер в одной подсети то, не имеет смысла возвращать пакет на маршрутизатор.
А если в разных то прокси-сервер сам вернет пакет маршрутизатору, чтобы он передал его дальше.
Есть что добавить? Регистрируйся и оставляй комментарии!