溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
網絡防火墻就是一個位于計算機和它所連接的網絡之間的防火墻。該計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些***,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊***。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明***者的所有通信。
平時說iptables是防火墻,其實iptables是iptables/netfilter組合中的一個,只有iptables/netfilter才應該叫做防火墻,它是基于軟件方式工作的網絡防火墻。iptables工作于用戶空間,是防火墻的規則編寫工具,使用iptables編寫規則并且發送到netfilter;防火墻的規則剛放到netfilter中,它是一個能夠讓規則生效的網絡架構,工作于內核空間。
iptables是什么?
防火墻,防火的墻。
iptables是防火墻軟件,防止***等***、非法訪問我們的網站或服務器。
防火墻有硬件和軟件:
1、iptables是軟件防火墻
2、硬件防火墻
【商用防火墻】
華為
深信服
思科
H3C
Juniper
天融信
飛塔
網康
綠盟科技
金盾
開源的基于數據包過濾的防火墻工具。
還可以做NAT映射:1)網關:局域網共享上網。2)IP或端口映射。
Iptables主要工作在OSI七層的二、三四層,如果重新編譯內核,
Iptables也可以支持7層控制(squid代理+iptables)。
Iptables企業應用場景
1、主機防火墻(filter表的INPUT鏈)。
2、局域網共享上網(nat表的POSTROUTING鏈)。半個路由器,NAT功能。
3、端口及IP映射(nat表的PREROUTING鏈),硬防的NAT功能。
4、IP一對一映射。
iptables工作流程小結:
1、防火墻是一層層過濾的。實際是按照配置規則的順序從上到下,從前到后進行過濾的。
2、如果匹配上了規則,即明確表明是阻止還是通過,此時數據包就不在向下匹配新規則了。
3、如果所有規則中沒有明確表明是阻止還是通過這個數據包,也就是沒有匹配上規則,向下進行匹配,直到匹配默認規則得到明確的阻止還是通過。
4、防火墻的默認規則是對應鏈的所有的規則執行完以后才會執行的(最后執行的規則)。
包含關系:
iptables防火墻==>4張表(tables)===>一共有5個鏈=(chains)====>規則(policy)
代表不同功能 (進入、流出、轉發) 具體執行辦事的
工作內容:就是需要知道在哪張表哪個鏈上,配置合適的規則,從而控制數據包的處理!
iptables包含4張表:
1.filter(負責主機防火墻功能)******
2.nat(端口或IP映射以及共享上網功能)******
3.mangle(配置路由標記 ttltos mark)不用學習。
4.raw不用介紹
表對應的鏈:
filter:INPUT,OUTPUT,FORWARD
NAT:POSTROUTING,PREROUTING,OUTPUT
mangle:INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING
raw
5鏈:
*INPUT:進入主機的數據包。主機防火墻(filter表的INPUT鏈)
OUTPUT:流出主機的數據包。
FORWARD:流經主機的數據包。
*PREROUTING:進入服務器最先經過的鏈,NAT端口或IP映射。(nat表的PREROUTING鏈)
*POSTROUTING:在流出服務器最后經過的鏈,NAT共享上網。局域網共享上網(nat表的POSTROUTING鏈)
查看防火墻信息的兩種方式
[root@web01 ~]# /etc/init.d/iptables status
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcpdpt:22
5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@web01 ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@web01 ~]#
查看啟動狀態命令:
iptables -nL --line-number
-n #<==以數字的形式顯示規則
-L #<==列表鏈里的所有規則
--line-number #<==打印規則序號
-t 指定表(default: `filter')
先打開防火墻
[root@web01 ~]# /etc/init.d/iptables start
iptables: Applying firewall rules: [ OK ]
防火墻的命令:
iptables [-t table] -A chainrule-specification
iptables [-t table] -I chain [rulenum]rule-specification
iptables [-t table] -D chain rulenum #<==根據規則號刪除。
iptables [-t table] -D chainrule-specification
注釋:
-t 指定表d(efault: `filter')
-A #<==把規則添加到指定的鏈上,默認添加到最后一行。
-I #<==插入規則,默認插入到第一行。
-D #<==刪除鏈上的規則
根據規則號刪除:
iptables -D INPUT 4 #<==4是規則號。
iptables -t nat -D PREROUTING 2
重置防火墻需要執行的三個步驟
-F #<==清除一個鏈或所有鏈上的規則
-Z #<==鏈的記數器清零
-X #<==刪除用戶自定義的鏈。
[root@web02 ~]# iptables -Z 把鏈的計數器清零
[root@web02 ~]# iptables -X 刪除用戶自定義的鏈
[root@web02 ~]# iptables -F 清除一個鏈或所有鏈上的規則
[root@web02 ~]# iptables -nL 查看防火墻的信息
封22端口
iptables -A INPUT -p tcp --dport 22 -j DROP
規則注釋:
-p #<==指定過濾的協議-p(tcp,udp,icmp,all)
--dport #<==指定目標端口(用戶請求的端口)。
-j #<==對規則的具體處理方法(ACCEPT,DROP,REJECT,SNAT/DNAT)
--sport #<==指定源端口。
禁止10.0.0.253訪問
[root@web01 ~]# iptables -I INPUT -p tcp -s10.0.0.253 -i eth0 -j DROP
[root@web02 ~]# iptables -A INPUT -p tcp !-s 10.0.0.2 -i eth0 -j DROP
-s #<==指定源地址。 ! 取反。
-d #<==指定目的地址。
-i #<==進入的網絡接口(eth0,eth2)。
-o #<==出去的網絡接口(eth0,eth2)。
匹配端口范圍:
iptables -I INPUT -p tcp -m multiport--dport 21,22,23,24 -j DROP
iptables -I INPUT -p tcp --dport 3306:8809-j ACCEPT
iptables -I INPUT -p tcp --dport 18:80 -j DROP #<==最佳
匹配ICMP類型
iptables -A INPUT -p icmp --icmp-type 8
例:iptables -AINPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -m icmp--icmp-type any -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -picmp -m icmp --icmp-type any -j ACCEPT
匹配網絡狀態
-m state --state
NEW:已經或將啟動新的連接
ESTABLISHED:已建立的連接
RELATED:正在啟動的新連接
INVALID:非法或無法識別的
允許關聯的狀態包 ftp協議
iptables -A INPUT -m state --state ESTABLISHED,RELATED -jACCEPT
限制指定時間包的允許通過數量及并發數
-m limit --limit n/{second/minute/hour}:
指定時間內的請求速率"n"為速率,后面為時間分別為:秒、分、時
iptables -I INPUT -p icmp --icmp-type 8 -mlimit --limit 6/min -j DROP
--limit-burst [n]
在同一時間內允許通過的請求"n"為數字,不指定默認為5
iptables -I INPUT -s 10.0.0.0/24 -p icmp--icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT
iptables命令總結
命令 | 說明 |
-A | 把規則添加到指定的鏈上 |
-p | 指定過濾的協議 |
-s | 指定源地址 |
-d | 指定目的地址 |
-i | 進入的網絡接口(eth0,eth2) |
-o | 出去的網絡接口(eth0,eth2) |
--dport | 指定目標端口 |
--sport | 指定源端口 |
--jump / -j | 對規則的具體處理方法(ACCEPT,DROP,REJECT,SNAT/DNAT) ACCEPT 允許 DROP 拒絕 REJECT 丟棄 SNAT 源地址轉換 DNAT 目的地址轉換 |
-D chain | 刪除鏈上的規則 |
-D chain rulenum | 根據規則號刪除規則 |
-I | 插入規則到第一行 |
-L | 列表鏈里的所有規則(iptables -nL) |
-n | 以數字的形式顯示規則 |
-P | 指定鏈的默認規則 |
-F | 清除一個鏈或所有鏈上的規則 |
-Z | 鏈的記數器清零 |
-N | 用戶自定義的鏈 |
-X | 刪除用戶自定義的鏈 |
--line-numbers | 打印規則序號 |
-t | 指定表(default: `filter') |
讓防火墻配置文件永久生效的方法:
方法一:
/etc/init.d/iptables save
方法二:
iptables-save >/etc/sysconfig/iptables
#清除所有鏈上的規則
[root@web01 ~]# iptables -F
#刪除用戶自定義的鏈
[root@web01 ~]# iptables -X
#鏈的計數器清零
[root@web01 ~]# iptables -Z
#允許22端口連接
[root@web01 ~]# iptables -A INPUT -p tcp--dport 22 -j ACCEPT
#允許172.16.1.0網段的主機連接22端口
[root@web01 ~]# iptables -A INPUT -p tcp -s172.16.1.0/24 --dport 22 -j ACCEPT
#不允許其他的數據端口進入
[root@web01 ~]# iptables -P INPUT DROP
#允許數據包流出
[root@web01 ~]# iptables -P OUTPUT ACCEPT
#不允許流經的數據包通過
[root@web01 ~]# iptables -P FORWARD DROP
#顯示iptables詳細的規則信息
[root@web01 ~]# iptables -nL
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 10.0.0.0/24 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
#允許80端口和443端口進入
[root@web02 ~]# iptables -A INPUT -p tcp -mmultiport --dport 80,443 -j ACCEPT
#允許172.16.1.0/24范圍的主機進入
[root@web02 ~]# iptables -A INPUT -s172.16.1.0/24 -j ACCEPT
#允許lo本地環回接口進入
[root@web02 ~]# iptables -A INPUT -i lo -jACCEPT
#允許ip ping服務器
iptables -A INPUT -p icmp --icmp-type 8 -jACCEPT
#允許已經建立連接的和正在建立連接的狀態數據包進入
iptables -A INPUT -m state --stateESTABLISHED,RELATED -j ACCEPT
#使修改的配置永久生效
[root@web01 ~]# /etc/init.d/iptables save
iptables: Saving firewall rules to/etc/sysconfig/iptables:[ OK ]
掃描測試:使用云主機部署,用筆記本虛擬機掃描
[root@web02 ~]# nmap www.baidu.com
Starting Nmap 5.51 ( http://nmap.org ) at2017-04-04 12:23 CST
Nmap scan report for www.baidu.com(119.75.217.109)
Host is up (0.020s latency).
Other addresses for www.baidu.com (notscanned): 119.75.218.70
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
Nmap done: 1 IP address (1 host up) scannedin 13.60 seconds
[root@db01 ~]# nmap 10.0.0.8 -p 1-1024
Starting Nmap 5.51 ( http://nmap.org ) at2017-06-15 11:59 CST
Nmap scan report for 10.0.0.8
Host is up (0.00095s latency).
Not shown: 1021 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp closed https
MAC Address: 00:0C:29:2F:E4:DB (VMware)
生產維護iptables:
1、日常改/etc/sysconfig/iptables配置
-A INPUT -p tcp -m tcp --dport 3306 -jACCEPT
生效:
1)/etc/init.d/iptables reload
2)iptables -I INPUT 3 -p tcp -m tcp--dport 3306 -j ACCEPT
2、臨時封Ip(-I)
iptables -I INPUT -s 203.71.78.10 -j DROP
腳本部署
寫成腳本
#!/bin/bash
#this is a server firewall created by oldboy 17:03 2006-7-26
#updated by oldboy on 10:30 2009-6-23
#http://blog.etiantian.org
#qq:49000448
#define variable PATH
IPT=/sbin/iptables
#Remove any existing rules
$IPT -F
$IPT -X
$IPT -Z
#setting default firewall policy
$IPT --policy OUTPUT ACCEPT
$IPT --policy FORWARD DROP
$IPT -P INPUT DROP
#setting for loopback interface
$IPT -A INPUT -i lo -j ACCEPT
#setting access rules
#one,ip access rules,allow all the ips of
$IPT -A INPUT -s 202.81.17.0/24 -p all -jACCEPT
$IPT -A INPUT -s 202.81.18.0/24 -p all -jACCEPT
$IPT -A INPUT -s 124.43.62.96/27 -p all -jACCEPT
$IPT -A INPUT -s 192.168.1.0/24 -p all -jACCEPT
$IPT -A INPUT -s 10.0.0.0/24 -p all -jACCEPT
#icmp
$IPT -A INPUT -p icmp -m icmp --icmp-typeany -j ACCEPT
#others RELATED
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -jACCEPT
/etc/init.d/iptables save
#iptables-save >/etc/sysconfig/iptables
內網服務器
更改mysql服務器
第一步:關閉eth0網卡
ifdown eth0
第二步:增加網關
route add default gw172.16.1.8
第三步:route -n 查看路由
第四步:編輯/etc/resolv.conf 增加一個10.0.0.254(增加DNS域名服務器解析)
vim /etc/resolv.conf
nameserver 10.0.0.254
外網服務器
web服務器
第一步:修改內核配置文件,開啟代理轉發
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
第二步:然后執行sysctl -p使修改生效
sysctl -p
第三步:調整iptables環境
iptables -P INPUT ACCEPT
#修改默認規則 允許流入主機包的鏈
iptables -P FORWARD ACCEPT
#修改默認規則 允許流經主機包的鏈
iptables -F
#情況所有鏈上的規則
生產企業的案例
iptables -t nat -IPOSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.8
把172.16.1.0/24范圍內所有的IP,要出去的數據包轉換成10.0.0.8IP流出
-t 指定 nat 表 -I 在一條插入局域網共享上網(nat表的POSTROUTING鏈)
-o 指定出去的網絡接口 是eth0 -s 指源ip地址是 172.16.1.0/24網段的主機
-j 對規則的具體處理方法 源地址轉換 轉換成10.0.0.8
然后內網服務器 ping www.baidu.com就可以ping通,說明可以上外網了。
方法1:適合于有固定外網地址的:
iptables -t nat -A POSTROUTING -s172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.8
把172.16.1.0/24范圍內所有的IP,要出去的數據包轉換成10.0.0.8IP流出
(1)-s 172.16.1.0/24 辦公室或IDC內網網段。
(2)-o eth0 為網關的外網卡接口。
(3)-j SNAT --to-source 10.0.0.8 是網關外網卡IP地址。
--to-source 源地址轉換
方法2:適合變化外網地址(撥號上網):
iptables -t nat -A POSTROUTING -s 172.16.1.0/24-j MASQUERADE ##偽裝。
把172.16.1.0/24范圍內所有的IP要出去的數據包自動轉換為適當的IP流出
需求:將網關的IP和9000端口映射到內網服務器的22端口
端口映射10.0.0.8:9000 -->172.16.1.51:22
實現命令:
iptables -t nat -APREROUTING -d 10.0.0.8 -p tcp --dport 9000 -j DNAT --to-destination172.16.1.51:22
將訪問10.0.0.8:9000端口的數據包 轉換到172.16.1.51:22端口
DNAT目標地址轉換
--to-destination 到目錄地
登錄時候填寫的主機10.0.0.8端口號是9000
在有外網的機器上建立一個輔助IP:
ip addr add 10.0.0.81/24 dev eth0 labeleth0:0 #<==輔助IP
iptables -t nat -I PREROUTING -d 10.0.0.81 -j DNAT --to-destination 172.16.1.51
iptables -t nat -I POSTROUTING -s 172.16.1.51 -o eth0 -j SNAT --to-source10.0.0.81
#適合內網的機器訪問NAT外網的IP
iptables -t nat -I POSTROUTING -s 172.16.1.0/255.255.240.0 -d 10.0.0.81 -j SNAT--to-source 172.16.1.8
把從源ip地址是172.16.1.0/255.255.240.0 網段流出的包流到10.0.0.81這個目標ip地址,最后出去的時候轉換成為172.16.1.8這個ip
方法1:
iptables -t nat-A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source124.42.60.11-124.42.60.16
三層交換機或路由器,劃分VLAN。
方法2:
iptables -t nat-A POSTROUTING -s 10.0.1.0/22 -o eth0 -j SNAT --to-source 124.42.60.11
iptables -t nat-A POSTROUTING -s 10.0.2.0/22 -o eth0 -j SNAT --to-source 124.42.60.12
擴大子網,增加廣播風暴。
課外閱讀:
(1)生產環境大于254臺機器網段劃分及路由解決方案詳解01
http://v.youku.com/v_show/id_XNTAyMjAwMzI0.html
(2) linux route命令深入淺出與實戰案例精講
http://oldboy.blog.51cto.com/2561410/1119453
http://oldboy.blog.51cto.com/2561410/974194
必看3遍以上。
有關iptables的內核優化
調整內核參數文件/etc/sysctl.conf
以下是我的生產環境的某個服務器的配置:
------------解決time-wait過多-------------
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_max_tw_buckets = 36000
----------------------------------
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
----------------------------------
#dmesg里面顯示 ip_conntrack: table full, dropping packet.的錯誤提示,什么原因?如何解決?
#iptables優化
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established= 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait= 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait= 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait= 120
net.ipv4.tcp_syncookies= 1
#→表示開啟SYN Cookies。當出現SYN等待隊列溢出時,啟用cookies來處理,可防范少量SYN***,默認為0,表示關閉;
net.ipv4.tcp_keepalive_time= 1200
#→表示當keepalive起用的時候,TCP發送keepalive消息的頻度。缺省是2小時,改為20分鐘。
net.ipv4.ip_local_port_range= 4000 65000
#→表示用于向外連接的端口范圍。缺省情況下很小。
net.ipv4.tcp_max_syn_backlog= 8192
#→表示SYN隊列的長度,默認為1024,加大隊列長度為8192,可以容納更多等待連接的網絡連接數。
net.ipv4.tcp_max_tw_buckets= 30000
#→表示系統同時保持TIME_WAIT套接字的最大數量,如果超過這個數字,TIME_WAIT套接字將立刻被清除并打印警告信息。默認為 180000,對于Apache、Nginx等服務器來說可以調 整低一點,如:改為5000-30000,不同業務的服務器也可以給大一點,比如lvs,squid。
#上幾行的參數可以很好地減少TIME_WAIT套接字數量,但是對于Squid,效果卻不大。
#此項參數可以控制TIME_WAIT套接字的最大數量,避免Squid服務器被大量的TIME_WAIT套接字拖死。
kernel.shmall = 2097152 # 可以使用的共享內存的總量。
kernel.shmmax = 2147483648 # 最大共享內存段大小。
kernel.shmmni = 4096 # 整個系統共享內存段的最大數目。
kernel.sem = 250 32000 100 128 # 每個信號對象集的最大信號對象數;系統范圍內最大信號對象數;每個信號對象支持的最大操作數;系統范圍內最大信號對象集數。
fs.file-max = 65536 # 系統中所允許的文件句柄最大數目。
net.ipv4.ip_local_port_range = 1024 65000 # 應用程序可使用的IPv4端口范圍。
net.core.rmem_default = 1048576 # 套接字接收緩沖區大小的缺省值
net.core.rmem_max = 1048576 # 套接字接收緩沖區大小的最大值
net.core.wmem_default = 262144 # 套接字發送緩沖區大小的缺省值
net.core.wmem_max = 262144 # 套接字發送緩沖區大小的最大值
fs.aio-max-nr = 1048576 文件系統最大異步io
這里,對每個參數值做個簡要的解釋和說明。
(1)shmmax:該參數定義了共享內存段的最大尺寸(以字節為單位)。缺省為32M,對于Oracle來說,該缺省值太低了,通常將其設置為2G。
(2)shmmni:這個內核參數用于設置系統范圍內共享內存段的最大數量。該參數的默認值是 4096 。通常不需要更改。
(3)shmall:該參數表示系統一次可以使用的共享內存總量(以頁為單位)。缺省值就是2097152,通常不需要修改。
(4)sem:該參數表示設置的信號量。
(5)file-max:該參數表示文件句柄的最大數量。文件句柄設置表示在Linux系統中可以打開的文件數量。
修改好內核以后,執行下面的命令使新的配置生效。
kernel.shmmax:表示單個共享內存段的最大值,以字節為單位,此值一般為物理內存的一半,不過大一點也沒關系,這里設定的為4GB,即"4294967295/1024/1024/1024=4G"。
kernel.shmmni:表示單個共享內存段的最小值,一般為4kB,即4096bit。來源:www.examda.com
kernel.shmall:表示可用共享內存的總量,單位是頁,在32位系統上一頁等于4kB,也就是4096字節。
fs.file-max:表示文件句柄的最大數量。文件句柄表示在linux系統中可以打開的文件數量。
ip_local_port_range:表示端口的范圍,為指定的內容。
kernel.sem:表示設置的信號量,這4個參數內容大小固定。
net.core.rmem_default:表示接收套接字緩沖區大小的缺省值(以字節為單位)。
net.core.rmem_max :表示接收套接字緩沖區大小的最大值(以字節為單位)
net.core.wmem_default:表示發送套接字緩沖區大小的缺省值(以字節為單位)。
net.core.wmem_max:表示發送套接字緩沖區大小的最大值(以字節為單位)。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
