PDA

View Full Version : chilli+squid ของผมมีช่องโหว่ครับ



gonhvvjvo
06-09-2008, 20:36
chilli+squid ของผมมีช่องโหว่ครับ รบกวนท่านอื่นๆ ทดสอบให้ทีนะครับ

ทดสอบว่าถ้าใส่ proxy เป็น 192.168.0.X:80 ของระบบ chillispot ของท่านจะสามารถเรียกหน้าเว็บผ่านได้เลยป่าว


ของผมพอใส่แล้ว เรียกหน้าเว็บได้ครับ ตอนนี้ยังหาที่แก้ไม่ได้สักทีครับ รบกวนท่านๆช่วยไปทดสอบของท่านๆทีนะครับ


ปล. 192.168.0.X --> เป็นหมายเลขip ของเครื่อง chilli ของท่านครับ

cameo
06-09-2008, 20:40
ป้องกันแฮค chillispot โดยการเซ็ตพร็อกซี่พอร์ต
Contributed by วิบูลย์ วราสิทธิชัย
Wednesday, 13 February 2008

เขียนโดย วิบูลย์ วราสิทธิชัย

กรณี ที่ทำเครื่อง chillispot ให้มี proxy server อยู่ด้วย อาจโดนแฮกใช้งาน www ฟรี โดยผู้ใช้ไม่ login แต่ไปเซ็ตค่าพร็อกซี่มายังพอร์ตของเรา ดังนี้ proxy server: 10.0.1.1 port 3128 เราแก้ไขโดยระบบเราจะไม่อนุญาตให้มีการเซ็ตค่าพร็อกซี่มาที่เครื่อง chilli นั่นเอง



แก้ไจที่แฟ้ม /etc/firewall.iptables

เพิ่มบรรทัดนี้ ก่อนทุกบรรทัดในส่วน PREROUTING

$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp --dport 3128 --syn -j DROP
เพื่อป้องกันไม่ให้มีผู้แอบใช้ www ด้วยการเซ็ตพร็อกซี่มาที่ port ที่เรากำหนด ในตัวอย่างคือ 3128

gonhvvjvo
06-09-2008, 21:55
ขอบคุณนะครับ


ตรง proxy ผมใส่ เป็น port 80 ครับ


ผมไม่ได้ใส่เป็น 3128 ครับ


ผมเข้าใจว่ามันก็จะวิ่ง เป็น port 80 ครับ พอวิ่งเข้าเครื่อง chilli ก็จะวิ่งเป็น port 80 ครับ

ไม่ทราบว่าพวกท่านๆลองรึยังครับ

gonhvvjvo
07-09-2008, 03:58
มีใครเป็นเหมือนผมบ้างครับ พอจะมีวิธีแก้ไขป่าวครับ

chalee
07-09-2008, 16:08
เอ๋.... แล้วไมท่านไม่เปลี่ยนเป็น 3128 ซะละครับ ใน squid หนะ...ของเค้าเดิมๆอะดีแล้ว 3128

ของผมที่ทำ squid ใช้ของเดิมๆ 3128 แล้วใช้ firewall ที่ป้องกัน ในเวปของ อ.วิบูลยื หรือที่ท่านcameo เอามานั่นแหละครับ
และผมได้ทดสอบดังนี้ โดยลองใส่
1. หมายเลข proxy + port 3128 ผลเข้าเวป แน่นิ่งไม่กระดุกกระดิก คาดว่าเสียชีวิตมาไม่น้อยกว่า 3 วัน

2. หมายเลข proxy + port 80 ผลเข้าเวป แน่นิ่งไม่กระดุกกระดิก คาดว่าเสียชีวิตมาไม่น้อยกว่า 3 วัน

3. หมายเลข proxy + port 800 ผลเข้าเวป แน่นิ่งไม่กระดุกกระดิก คาดว่าเสียชีวิตมาไม่น้อยกว่า 3 วัน

4. หมายเลข proxy + port 8080 ผลเข้าเวป แน่นิ่งไม่กระดุกกระดิก คาดว่าเสียชีวิตมาไม่น้อยกว่า 3 วัน


สรุปผลการทดลอง ใน squid.conf ใช้ค่า port เดิมคือ 3128 แล้วใช้ firewall ที่ป้องกันแล้ว จะสามารถ ป้องกัน user หัวหมอได้ครับ
แต่ถ้าใส่ port ใน squid.conf เป็น 8080 หรือ 80 หรือ 800 นิ ผมยังไม่ได้ลอง แต่ท่าน gonhvvjvo คงจะลองให้แล้ว ก็คิดว่า คงจะต้องใช้ 3128 ละคับท่าน..

gonhvvjvo
07-09-2008, 21:34
ขอบคุณสำหรับคำตอบครับ


2. หมายเลข proxy + port 80 ผลเข้าเวป แน่นิ่งไม่กระดุกกระดิก คาดว่าเสียชีวิตมาไม่น้อยกว่า 3 วัน

ข้อนี้ครับ ทำไมใส่แล้วผ่านอ่ะครับ

ผมใส่ใน squid.conf เป็น http_port 3128 transparent ตามของอาจารย์วิบูรณ์เลยอ่ะครับ

อันล่างนี้เป็น firewall ผมครับ


#!/bin/sh
#
# Firewall script for ChilliSpot
# A Wireless LAN Access Point Controller
#
# Uses $EXTIF (eth0) as the external interface (Internet or intranet) and
# $INTIF (eth1) as the internal interface (access points).
#
#
# SUMMARY
# * All connections originating from chilli are allowed.
# * Only ssh is allowed in on external interface.
# * Nothing is allowed in on internal interface.
# * Forwarding is allowed to and from the external interface, but disallowed
# to and from the internal interface.
# * NAT is enabled on the external interface.

IPTABLES="/sbin/iptables"
EXTIF="eth0"
INTIF="eth1"

#Flush all rules
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle

#Set default behaviour
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

#Allow related and established on all interfaces (input)
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#Allow releated, established and ssh on $EXTIF. Reject everything else.
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 9876 --syn -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -j REJECT

#Allow related and established from $INTIF. Drop everything else.
$IPTABLES -A INPUT -i $INTIF -j DROP

#Allow http and https on other interfaces (input).
#This is only needed if authentication server is on same server as chilli
$IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT

#Allow 3990 on other interfaces (input).
$IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT

$IPTABLES -A INPUT -p tcp -m tcp --dport 3128 --syn -j ACCEPT

#Allow ICMP echo on other interfaces (input).
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

#Allow everything on loopback interface.
$IPTABLES -A INPUT -i lo -j ACCEPT

##Allow transparent proxy (wiboon 2/2)
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp --dport 3128 --syn -j DROP

$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

# Drop everything to and from $INTIF (forward)
# This means that access points can only be managed from ChilliSpot
$IPTABLES -A FORWARD -i $INTIF -j DROP
$IPTABLES -A FORWARD -o $INTIF -j DROP

#Enable NAT on output device
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE


ผมก็หาที่ผิดอยู่ก็ไม่เจอสักที วันนี้ก็เพิ่งลงใหม่ทำใน vmware ดูก็ยังเป็น

gonhvvjvo
07-09-2008, 23:46
เจอแล้วครับผมไม่ได้ใส่บรรทัดนี้ครับ

$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp -d 192.168.0.0/16 --dport 80 \
-j RETURN
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp -d 172.16.0.0/12 --dport 80 \
-j RETURN
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp -d 10.0.0.0/8 --dport 80 \
-j RETURN


ท่านใดพอจะอธิบายความหมายของบรรทัดที่ผมขาดไปได้ป่าวครับ

chalee
08-09-2008, 02:18
นี่แหละครับ linux พิมพ์ผิดหรือพลาดไป ก็ไม่ทำงานหรือทำงานผิดพลาดแล้ว ฉะนั้นใช้ linux ต้องรอบคอบ และค้นจนเจอความผิดพลาดด้วยตัวเองแบบนี้ เยี่ยมคับ

gonhvvjvo
08-09-2008, 09:52
ยังไงก็ขอขอบคุณ k.chalee ด้วยนะครับ ที่ช่วยเหลือครับ

chalee
08-09-2008, 10:28
ยินดีเป็นอย่างยิ่งเลยครับ

bigmamaz
12-09-2008, 16:30
แล้วถ้าแบบนี้ จะปลอดภัยมั้ยครับ

# Transparent Proxy Squid port 9999
$IPTABLES -A INPUT -i tun0 -p tcp -m tcp --dport 9999 --syn -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp --dport 9999 --syn -j DROP
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp --dport 80 -j REDIRECT --to-port 9999

gonhvvjvo
14-09-2008, 22:45
แล้วถ้าแบบนี้ จะปลอดภัยมั้ยครับ

# Transparent Proxy Squid port 9999
$IPTABLES -A INPUT -i tun0 -p tcp -m tcp --dport 9999 --syn -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp --dport 9999 --syn -j DROP
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp --dport 80 -j REDIRECT --to-port 9999




ลองทดสอบด้วยวิธีใส่ proxy+port 80 ที่ ie ดูครับ

chalee
14-09-2008, 23:44
ผมเอา คำสั่งมาแจกคับใส่ไว้สุดท้ายของ firewall.iptables เป็นการปิดพอร์ต ทั้งขาเข้าและขาออกขชองพวก worm ต่างๆ คับ... ทำให้ เน็ตเวริคเรา ไม่มีทราฟิคของ หนอน มารบกวน

# Drop package wrom Virus Input, Output
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 135 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 445 -j DROP
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p udp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A INPUT -p udp --dport 5554 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A INPUT -p udp --dport 9996 -j DROP
$IPTABLES -A INPUT -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -p udp --dport 137 -j DROP
$IPTABLES -A INPUT -p tcp --dport 138 -j DROP
$IPTABLES -A INPUT -p udp --dport 138 -j DROP
$IPTABLES -A INPUT -p tcp --dport 139 -j DROP
$IPTABLES -A INPUT -p udp --dport 139 -j DROP

$IPTABLES -A OUTPUT -p tcp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 139 -j DROP

nut_kkc
15-09-2008, 03:11
ผมเอา คำสั่งมาแจกคับใส่ไว้สุดท้ายของ firewall.iptables เป็นการปิดพอร์ต ทั้งขาเข้าและขาออกขชองพวก worm ต่างๆ คับ... ทำให้ เน็ตเวริคเรา ไม่มีทราฟิคของ หนอน มารบกวน

# Drop package wrom Virus Input, Output
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 135 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 445 -j DROP
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p udp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A INPUT -p udp --dport 5554 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A INPUT -p udp --dport 9996 -j DROP
$IPTABLES -A INPUT -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -p udp --dport 137 -j DROP
$IPTABLES -A INPUT -p tcp --dport 138 -j DROP
$IPTABLES -A INPUT -p udp --dport 138 -j DROP
$IPTABLES -A INPUT -p tcp --dport 139 -j DROP
$IPTABLES -A INPUT -p udp --dport 139 -j DROP

$IPTABLES -A OUTPUT -p tcp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 139 -j DROP


ขอบคุณหลายๆครับ

amon910
17-10-2008, 20:26
:) ขอบคุณคับ

tinnakornten
04-12-2008, 20:18
_/ \_ ขอบคุณจากใจครับ

konlungkao
05-12-2008, 10:00
ขอบคุณเช่นกันครับ :D :D

Hacker
16-05-2009, 20:56
ลองแล้วครับ มันยัง ทะลุ เล่นเน็ตได้เฉยเลย
port 3128 ครับ

ไฟล์ติดตั้ง โหลดมาจาก Wifi_Auth เค้า แก้ให้ไว้แล้ว แต่ก็ยังทะลุ

wooo
17-05-2009, 00:23
ผมเอา คำสั่งมาแจกคับใส่ไว้สุดท้ายของ firewall.iptables เป็นการปิดพอร์ต ทั้งขาเข้าและขาออกขชองพวก worm ต่างๆ คับ... ทำให้ เน็ตเวริคเรา ไม่มีทราฟิคของ หนอน มารบกวน

# Drop package wrom Virus Input, Output
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 135 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 445 -j DROP
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p udp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A INPUT -p udp --dport 5554 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A INPUT -p udp --dport 9996 -j DROP
$IPTABLES -A INPUT -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -p udp --dport 137 -j DROP
$IPTABLES -A INPUT -p tcp --dport 138 -j DROP
$IPTABLES -A INPUT -p udp --dport 138 -j DROP
$IPTABLES -A INPUT -p tcp --dport 139 -j DROP
$IPTABLES -A INPUT -p udp --dport 139 -j DROP

$IPTABLES -A OUTPUT -p tcp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 139 -j DROP



เอาไปยัดใส่ firewall ของ cc ทั่วไปได้ไหมครับ

max0405
17-05-2009, 12:56
ลองแล้วครับ มันยัง ทะลุ เล่นเน็ตได้เฉยเลย
port 3128 ครับ

ไฟล์ติดตั้ง โหลดมาจาก Wifi_Auth เค้า แก้ให้ไว้แล้ว แต่ก็ยังทะลุ


ใช้ได้นิครับ ไม่ทะลุ

Hacker
20-05-2009, 01:14
ลองแล้วครับ มันยัง ทะลุ เล่นเน็ตได้เฉยเลย
port 3128 ครับ

ไฟล์ติดตั้ง โหลดมาจาก Wifi_Auth เค้า แก้ให้ไว้แล้ว แต่ก็ยังทะลุ


ใช้ได้นิครับ ไม่ทะลุ



ผมลองแล้วครับ
ทั้ง 80 และ 3128 ทะลุ เปิดเวบได้หมดเลย
แก้ยังไงก็ไม่หายครับ
รบกวนขอ ไฟล์หน่อยได้มั้ยครับ

firewall.iptables และ chilli.iptables กับไฟล์ อื่นๆ ที่ต้องใช้ ร่วมกันครับ

chalee
20-05-2009, 01:24
chilli.iptables กับ squid.conf ของผมที่ใช้อยู่ ตอนนี้ครับ เอาไปแก้ ip ให้เป็นของคุณทั้ง 2 ไฟล์ด้วย

http://www.tempf.com/getfile.php?filekey=1242757485.55264_file.rar&mime=application/rar

Hacker
20-05-2009, 01:44
ขอคุณครับ

/etc/init.d/chilli.iptables ไฟล์นี้ ในเครื่อง ของผมไม่มี ครับ
เอาไปใส่เลย ก็รันไม่ได้อ่ะ

[root@Wifi ~]# /etc/init.d/chilli.iptables
: bad interpreter: No such file or directory

ลืมบอกไปครับ ผมใช้ cc4.3

และ LAN ผมใช้ eth3

redwarning
17-11-2009, 22:12
สำหรับ cc 4.3 กับ firewall อื่นๆ ของผมใช้ Mazzero V.2
ลองตามนี้ครับ
https://www.linuxthai.org/forum/index.php?topic=8948.0

blackjack
18-11-2009, 07:09
# Drop package wrom Virus Input, Output
$IPTABLES -A INPUT -p tcp --dport 135 -j DROP
$IPTABLES -A INPUT -p udp --dport 135 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 445 -j DROP
$IPTABLES -A INPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A INPUT -p udp --dport 4444 -j DROP
$IPTABLES -A INPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A INPUT -p udp --dport 5554 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A INPUT -p udp --dport 9996 -j DROP
$IPTABLES -A INPUT -p tcp --dport 137 -j DROP
$IPTABLES -A INPUT -p udp --dport 137 -j DROP
$IPTABLES -A INPUT -p tcp --dport 138 -j DROP
$IPTABLES -A INPUT -p udp --dport 138 -j DROP
$IPTABLES -A INPUT -p tcp --dport 139 -j DROP
$IPTABLES -A INPUT -p udp --dport 139 -j DROP

$IPTABLES -A OUTPUT -p tcp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 135 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 445 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 4444 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 5554 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 9996 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 137 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p udp --dport 138 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 139 -j DROP

ขอบคุณหลายๆครับ

hitzrer
29-10-2011, 18:44
เจอแล้วครับผมไม่ได้ใส่บรรทัดนี้ครับ

$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp -d 192.168.0.0/16 --dport 80 \
-j RETURN
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp -d 172.16.0.0/12 --dport 80 \
-j RETURN
$IPTABLES -t nat -A PREROUTING -i tun0 -p tcp -m tcp -d 10.0.0.0/8 --dport 80 \
-j RETURN


ท่านใดพอจะอธิบายความหมายของบรรทัดที่ผมขาดไปได้ป่าวครับ

อยากรู้เหมือนกันครับ อ.ชาลี
ขอบคุณครับ