Главная сайта | Форум | Фотоальбом | Регистрация   | Вход | Cайт в избранное | Правила сайта и форума

Приветствую Вас Гость | RSS


Фильмы | Онлайн Видео | Софт | Новости и Статьи | Игры онлайн | Фотоальбом | Форум

ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ:  Uran - браузер от uCoz на базе проекта Chromium. | Google ChromeOpera | Firefox 


МЕНЮ САЙТА

ПОИСК ПО САЙТУ

Gamesblender 675: новый шутер от Valve, Stellar Blade на ПК и ускоренный ИИ на GeForce RTX

Gamesblender № 674: новые боссы PlayStation, опасная стратегия Microsoft и ассасины в Японии

Gamesblender № 673: внезапная Hades II, закрытие студий Bethesda и контроль видеоигр в России

Gamesblender № 661: будущее Xbox, новая игра авторов Ori, «неправильная» Subnautica 2 и прощание с Dead Cells

Gamesblender № 660: «портативки» от Sony и Microsoft, эксклюзивы Xbox на PlayStation, сделка Epic и Disney и показ Final Fantasy VII Rebirth

Tekken 8: 10 аниме из 10

Gamesblender № 659: Death Stranding 2 и другие показы State of Play, новый президент Blizzard, отмена Deus Ex и перенос «Смуты»

Gamesblender № 657: дата выхода S.T.A.L.K.E.R. 2, «Индиана Джонс» от авторов Wolfenstein, закрытие Piranha Bytes, Larian против подписок

Gamesblender № 656: ремастер Half-Life 2, сиквел Cyberpunk 2077 и новый конкурент Steam Deck

Gamesblender № 654: главные события 2023 года в игровой индустрии

Игромания! Игровые новости, 5 декабря (The Last Of Us 2, Overwatch, Mass Effect: Andromeda)

Игромания! Игровые новости, 19 сентября (Tokyo Game Show, League of Legends, CS: GO, BioShock)

Во что поиграть на этой неделе — 10 июня (Mirror's Edge: Catalyst, Hearts of Iron 4)

Игромания! Игровые новости, 20 февраля (Watch Dogs 3, Steam, Horizon: Zero Dawn, Resident Evil)

Во что поиграть на этой неделе — 8 июня + Лучшие скидки на игры

Игромания! Игровые новости, 29 февраля (Half-Life 3, Nintendo, HTC Vive, Uncharted 4)

Во что поиграть на этой неделе — 18 мая + Лучшие скидки недели

Во что поиграть на этой неделе — 15 апреля (Dark Souls 3, Everybody's Gone to the Rapture)
СТАТИСТИКА
Всего материалов:
Фильмомания: 1513
Видео: 220
Каталог файлов: 95
Каталог статей: 6799
Фотоальбом: 1236
Форум: 1152/8425
Каталог сайтов: 386

Всего зарегистрировано:
Зарегистрировано: 1725
Сегодня: 0
Вчера: 1
За неделю: 1
За месяц: 5

Из них:
Пользователи: 1650
Проверенные: 23
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане: 33
Модераторы: 1
Администраторы: 3

Из них:
Парней 1295
Девушек 428


ON-Line всего: 31
Гостей: 31
Пользователей: 0

Сейчас на сайте:


Кто был?
lime-line-design,
День Рождения у: Otpugivvvat(41), beret81(43), Vovan(78)
ВЫ МОЖЕТЕ ОКАЗАТЬ ПОДДЕРЖКУ ЗА ТРУДЫ, ПОЖЕРТВОВАВ ЛЮБУЮ СУММЫ.

WEBMONEY



Категории каталога

Главная » Статьи » Статьи » Статьи: Windows 7

Windows 7 » Новые возможности » Введение в DirectAccess (Часть 2)

Введение

В предыдущей части статьи, посвященной технологии DirectAccess, я расписал определения терминов, связанных с этой технологией, описал требования инфраструктуры, необходимые для развертывания DirectAccess внутри организации, описал технологию подключения к интрасети с помощью DirectAccess. В этой статье будет рассмотрено подключение клиента DirectAccess к ресурсам интрасети, описаны исключения брандмауэров и удаленное управление клиентами DirectAccess, а также будет рассказано о проверке подлинности DirectAccess. Отдельным разделом вынесено описание работы NAP - технологии Microsoft, предназначенной контролировать доступ к сети, построенной на основе главного компьютера, исходя из информации о состоянии системы клиентского компьютера. Также коротко описан принцип мониторинга DirectAccess.

Интернет-трафик и трафик интрасети

В отличие от виртуальных частных сетей, которым свойственно во время работы пропускать через себя весь входящий и исходящий трафик Интранета и Интернета, при этом значительно замедляя доступ к указанным выше сетям, DirectAccess не пропускает через корпоративную сеть трафик Интернета, в связи с чем клиент не замечает никаких изменений в доступе к Интернету. Это происходит потому, что DirectAccess, благодаря протоколу IP-HTTPS отделяет трафик, поступающий в интрасеть от интернет-трафика, при этом уменьшая поступающий объем лишнего трафика к корпоративной сети, что схематично отображено на следующем рисунке.

*

По умолчанию интернет-трафик не направляется через сервер DirectAccess

Используя параметры брандмауэра Windows в режиме повышенной безопасности, ИТ-администраторы получают возможность полностью управлять тем, какие приложения могут отправлять трафик и к каким подсетям могут обращаться клиентские компьютеры.

Исключения брандмауэра

В следующей таблице перечислены исходящие исключения брандмауэра для DirectAccess входящего и исходящего трафика сервера DirectAccess.

ИмяTeredo6to4IP-HTTPSNative IPv6
UDP 3544XN/AN/AN/A
Protocol 41N/AXN/AN/A
TCP 443N/AN/AXN/A
ICMPv6 (если у вас есть подключение к Интернет через IPv6)N/AN/AN/AX
UDP 500 (если у вас есть подключение к Интернет через IPv6)N/AN/AN/AX
Protocol 50N/AN/AN/AX

В этой таблице показано, что если вы собираетесь поддерживать клиентов с подключением через Teredo, 6to4, а также IP-HTTPS, которые являются стандартными и рекомендуемыми наборами протоколов подключения клиента DirectAccess – необходимо разрешить порту UDP 3544, протоколу IPv4 41 и TCP порту 443 трафик через брандмауэр и разрешить этот трафик для доступа к серверу DirectAccess. Если вы собираетесь поддерживать клиентов, которые подключаются с родными IPv6-адресами, вам также необходимо разрешить через внешний брандмауэр протокол 50 - ICMPv6 и IPv6.

Например, исключения для интерфейса Интернета на брандмауэре будут иметь следующий вид:

[Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [protocol or port]

[IPv4 address of Internet-facing adapter on DirectAccess server] for [protocol or port] allowed outbound to [Any]

В следующей таблице приведены исключения брандмауэра для входящего и исходящего трафика интрасети и клиентов DirectAccess:

ИмяISATAPNative IPv6IPv4 + NAT-PT
Protocol 41X
TCPXX
UDPXX
ICMPV6X
All IPv6 connectivityX
UDP 500 IKE/AuthIPXX

Эта таблица показывает, что если есть брандмауэр между сервером DirectAccess и остальной частью интрасети, порты и протоколы, которые должны быть открыты на брандмауэре, зависят от типа подключения и используются клиентами DirectAccess для доступа к ресурсам в интрасети. Эти исключения разрешают весь IPv4 и IPv6 трафик и из сервера DirectAccess клиенты могут получить доступ на контроллеры домена Active Directory, CAS, и другие ресурсы интранета.

Удаленное управление клиентами DirectAccess

С DirectAccess, ИТ-администраторы имеют возможность удаленного администрирования клиентских компьютеров DirectAccess. Они могут устанавливать обновления безопасности, генерировать отчеты об аппаратной и программной конфигурации, устанавливать приложения и даже управлять компьютером клиента при помощи удаленного рабочего стола. С DirectAccess при связи с клиентами используется исключительно протокол IPv6, и любое приложение, которое администратор использует для подключения к удаленному клиенту DirectAccess должно поддерживать IPv6.

Кроме того, когда ИТ-администратор использует приложение, которое подключается к клиенту DirectAccess, используя Teredo как переходную технологию для отправки трафика IPv6 над IPv4, правило брандмауэра с включенным чекбоксом Edge Traversal для этого приложения должно быть разрешено и настроено на клиентском компьютере.

  • Необходимо воспользоваться брандмауэром Windows в режиме повышенной безопасности (используют редактор групповых политик). Перейти к правилам для входящих подключений, перейти на вкладку «Дополнительно» и выбрать «Allow edge traversal in Edge traversal».
  • Использовать опцию edge=yes в команде netsh advfirewall firewall при добавлении или изменении входящего правила.

Для компьютера, который управляется с помощью Teredo требуется удостовериться, что у компьютера есть разрешение для входящих эхо-запросов ICMPv6 и включено правило для Edge traversal. Команда Netsh.exe для этого правила применяется следующим образом:


netsh advfirewall firewall add rule name="Inbound ICMPv6 Echo request with Edge traversal" protocol=icmpv6:128,any dir=in action=allow edge=yes profile=public,private

В следующем примере показано, как включить правило для удаленного рабочего стола с edge traversal используя команду Netsh.exe:


netsh advfirewall firewall add rule name=”remote desktop” profile=public,private dir=in program=system action=allow protocol=tcp localport=3389 edge=yes remoteip=

Для дальнейшего обеспечения аутентификации и шифрования удаленного рабочего стола необходимо добавить следующее правило:


netsh advfirewall firewall add rule name=”remote desktop” profile=public,private dir=in program=system action=allow protocol=tcp localport=3389 security=authenc edge=yes remoteip=

Чтобы использовать эти параметры, вы должны убедиться в том, что подключение обеспечивается при помощи транспорта политики IPSec, который обеспечивает связь между сервером управления и клиентом.

Доступные общественные имена

Если политики вашего сервера DirectAccess настраиваются при помощи сервера имен, вместо адреса IP, сервера Teredo, 6to4 Relay и сервера имен IP-HTTPS, то все они должны разрешаться с публичными Интернет-именами. Все эти сервера физически могут быть расположены на одном сервере и в этом случае должно быть доступно только одно имя. Если эти имена серверов не разрешены за пределами вашей организации, то пользователи DirectAccess не смогут подключаться к Интранет.

В качестве альтернативы, политика DirectAccess может быть настроена с помощью IP-адреса для сервера Teredo, 6to4 Relay и IP-HTTPS серверов, в этом случае эти имена серверов не должны быть публично разрешенными.

Подключение клиентов между DirectAccess

В зависимости от используемого приложения, клиенты DirectAccess могут непосредственно общаться с другими клиентами DirectAccess, когда они находятся за пределами интрасети. Приложения, которые позволяют клиентам непосредственно подключаться друг к другу, называются Peer-To-Peer (P2P) приложениями.

Многие P2P приложения предоставляют свои встроенные политики безопасности, как например, приложение Groove или Office Communicator, а некоторые приложения не предоставляют свои политики безопасности. Удаленный помощник, Удаленный рабочий стол, общий доступ к файлам и принтерам относятся ко второй категории. При помощи использования IPsec, DirectAccess позволяет этим приложениям безопасно общаться, даже если у них нет собственных механизмов безопасности.

Для безопасного подключения к определенным приложениям требуется:

  • Создать транспортные правила IPsec, связать их с правилами брандмауэра для каждого приложения, которое клиенты будут запускать, используя общие принципы политики:

  • Transport mode, RequestinRequestout, Non-Corp v6 Non-Corp v6 , Auth = Computer certificate, Profile=public, private
  • Создать правила брандмауэра Windows для каждого приложения. Например, для удаленного рабочего стола правила будут выглядеть следующим образом:

  • Profile= Public, Private; Program = c:\windows\system32\mstsc.exe; Allow if secure + encryption; Inbound; TCP 3389

Для настройки IPsec правила можно использовать команду Netsh:


netsh advfirewall consec add rule endpoint1= endpoint2= action=requestinrequestout profile=public,private auth1=computercert auth1ca=

Чтобы настроить правила брандмауэра Windows при помощи команды Netsh требуется сделать следующее:


netsh advfirewall firewall add rule name=”remote desktop” profile=public,private program=system action=allow security=authenc protocol=tcp localport=3389

В конце концов, дополнительная безопасность может быть настроена для предотвращения связи между клиентами DirectAccess при простое. Это можно обеспечить путем изменения правила безопасности соединения: action=requireinrequestout, которое может привести к потере всех не шифрующихся соединений хостов IPv6.

Исходящие подключения к другим клиентам DirectAccess будут обеспечены независимо от их приложений. Исходящие подключения к Интернету и клиентам, которые не подключены к DirectAccess будут не защищены.

Проверка подлинности DirectAccess

После прохождения аутентификации, компьютеры, которые присоединены к домену, имеют доступ только к серверам DNS и контроллерам домена. В свою очередь DirectAccess проверяет подлинность компьютера еще до того, как пользователь выполнит вход в систему. После того, как произведена проверка подлинности DirectAccess позволяет подключаться ко всем ресурсам, к которым есть разрешение на доступ пользователя в корпоративной сети.

DirectAccess поддерживает стандартную проверку подлинности пользователя с применением имени пользователя и пароля. Для повышения безопасности можно реализовать двухфакторную проверку подлинности с помощью смарт-карт. Как правило, для этого необходимо, чтобы пользователь помимо ввода своих учетных данных вставил свою смарт-карту. Проверка подлинности с помощью смарт-карт не позволит злоумышленнику, завладевшему паролем пользователя (но не его смарт-картой), подключиться к интрасети. Точно так же злоумышленник, завладевший смарт-картой, но не знающий пароля пользователя, не сможет пройти проверку подлинности

Использование смарт-карт в DirectAccess

После установки инфраструктуры PKI и смарт-карт, вы добавляете глобальные параметры режимов туннелирования IPsec и разрешения объектов групповой политики для сервера DirectAccess, указав идентификатор авторизации для входа в систему смарт-карты.

Путем соблюдения работы смарт-карт с IPsec аутентификацией, IPsec может быть настроен для поиска определенного SID клиента. IPsec настраивается для аутентификации пользователей на основе Kerberos, а также поиска конкретной аутентификации пользователей. Для аутентификации пользователей с использованием смарт-карт применяется известный SID (S-1-5-65-1), который отображается на основе смарт-карт входа в систему. Этот SID называется "сертификат организации", когда он сконфигурирован в глобальном туннелированном режиме настроек авторизации.

Когда используется аутентификация edge на основе смарт-карт, используя политику разрешения IPsec и пользователь входит в систему без смарт-карты, появится сообщение в области уведомлений. На следующем рисунке показан пример:

*

Пользователь может нажать на это сообщение и использовать свою смарт-карту с PIN-кодом для получения доступа к ресурсам Интрасети.

DirectAccess и защита доступа к сети (NAP)

Как говорилось в предыдущей части статьи, NAP (Network Access Protection) — технология компании Microsoft, предназначена контролировать доступ к сети, построенной на основе главного компьютера, исходя из информации о состоянии системы клиентского компьютера.

NAP работает как с серверными, так и с клиентскими компонентами. Чтобы заставить компоненты клиента и сервера работать вместе, нужно настроить параметры NAP как на клиентском компьютере, так и на сервере.

Компоненты сервера должны удостоверять работоспособность клиентских компьютеров, а также определять сетевые ресурсы, доступные клиентским компьютерам.

Клиентские компоненты отвечают за сбор данных о статусе работоспособности клиентских компьютеров, поддержание клиентских компьютеров в работоспособном состоянии, а также за передачу данных о статусе работоспособности клиентских компьютеров компонентам сервера.

Чтобы получить доступ к сети, клиент NAP сначала собирает сведения о работоспособности из локально установленного программного обеспечения, называемого агентами работоспособности системы (SHA). Каждый установленный на клиентском компьютере SHA предоставляет данные о текущих параметрах или действиях, для отслеживания которых он предназначен. Сведения из SHA собираются агентом NAP, который является выполняемой на локальном компьютере службой. Служба агента NAP выводит сводку по состоянию работоспособности компьютера и передает ее одному или нескольким клиентам принудительной защиты доступа к сети. Клиент принудительной защиты - это программное обеспечение, взаимодействующее с точками NAP для доступа к сети или связи с ней.

Если точка NAP работает под управлением Windows Server 2008 или Windows Server 2008 R2, она называется сервером NAP. Все серверы принудительного использования NAP должны работать под управлением Windows Server 2008 или Windows Server 2008 R2. В NAP с принудительным использованием 802.1X точкой NAP является коммутатор с поддержкой IEEE 802.1X или точка беспроводного доступа. Серверы принудительного использования NAP для методов принудительного использования IPsec, DHCP и шлюза RD также должны работать под управлением сервера политики сети, настроенного в качестве прокси-сервера RADIUS или сервера политики работоспособности NAP. Для NAP с принудительным использованием VPN не требуется установка NPS на сервере VPN

Сервер политики работоспособности NAP - это компьютер, работающий под управлением Windows Server 2008 или Windows Server 2008 R2, на котором установлена и настроена служба роли сервера политики сети (NPS), предназначенная для оценки работоспособности клиентских компьютеров NAP. Для всех технологий применения NAP требуется хотя бы один сервер политики работоспособности. Для оценки запросов на доступ к сети, отправленных клиентскими компьютерами NAP, сервер политики работоспособности NAP использует политики и параметры. Эти параметры и политики определены в следующих разделах.

Для соблюдения политик безопасности и работоспособности компьютеров и снижения риска распространения вредоносных программ клиентам, не отвечающим установленным требованиям, можно запретить доступ к ресурсам в интрасети и взаимодействие с компьютерами, которые соответствуют всем требованиям. Используя защиту доступа к сети (NAP) в сочетании с DirectAccess, ИТ-администраторы могут потребовать, чтобы клиенты DirectAccess были работоспособны и соответствовали корпоративным политикам и требованиям к работоспособности. Например, клиентские компьютеры могут подключаться к серверу DirectAccess, только если на них установлены последние обновления безопасности и сигнатуры вредоносных программ, а также выполнены другие требования к настройкам безопасности.

При использовании защиты доступа к сети в сочетании с DirectAccess клиенты DirectAccess с включенной защитой NAP должны предоставлять сертификаты работоспособности для проверки подлинности при установке начального подключения к серверу DirectAccess. Сертификат работоспособности содержит удостоверение компьютера и подтверждение работоспособности системы. Как описывалось выше, клиент DirectAccess с включенной защитой NAP получает сертификат работоспособности, отправляя информацию о состоянии своей работоспособности в центр регистрации работоспособности, расположенный в Интернет. Сертификат работоспособности должен быть получен до установки соединения с сервером DirectAccess.

Для авторизации уровня доступа клиентов, пытающихся подключиться к сети, в сетевых политиках используются условия, параметры и ограничения. Для обеспечения защиты доступа к сети (NAP) необходимо настроить хотя бы одну политику сети, которая будет применена к компьютерам, совместимым с требованиями к работоспособности, а также хотя бы одну политику сети, которая будет применена к несовместимым компьютерам. Можно также настроить сетевую политику, которая будет применена к компьютерам, не поддерживающим NAP. Чтобы указать уникальные требования к работоспособности для различных компьютеров или сегментов сети, настраиваются дополнительные сетевые политики.

При использовании защиты доступа к сети в сочетании с DirectAccess клиентский компьютер, не отвечающий требованиям работоспособности, который был заражен вредоносными программами, не может подключиться к интрасети через DirectAccess, что ограничивает возможности распространения вредоносного кода. Для DirectAccess не требуется защита доступа к сети (NAP), хотя ее использование рекомендуется.

Мониторинг DirectAccess

Windows Server 2008 R2 предоставляет встроенные возможности мониторинга сервера DirectAccess и его компонентов на основе оснастки мониторинга узла DirectAccess. Мониторинг узлов обеспечивает возможность мониторинга трафика деятельности, данных и управления счетчиками трафика и событий для различных компонентов сервера DirectAccess и статуса системы сервера DirectAccess.

Статус сервера DirectAccess

Статус сервера DirectAccess обновляется каждые 10 секунд путем опроса соответствующих компонентов. Пока состояние всех компонентов в порядке, статус сервера также в порядке. Если один или несколько компонентов сообщает о каком-либо предупреждении, состояние сервера также будет отображаться с предупреждением. Если какой-либо из компонентов работает с ошибкой, в статусе сервера будет отображаться ошибка. Если одновременно присутствуют как предупреждения, так и ошибки, то состояние сервера будет отображаться с ошибкой.

Список предупреждений и ошибок отображается вместе со статусом сервера, где можно также найти и предложенные варианты решения. Основными сообщениями об ошибке являются ошибки связанные с памятью и загруженностью процессора. В некоторых случаях можно получить точное решение, как, скажем, Teredo сервер остановлен или отсутствует интерфейс ISATAP.

На следующем рисунке показан пример мониторинга узла DirectAccess:

*

Компоненты сервера DirectAccess

Раздел компоненты сервера DirectAccess мониторинга показывает общее состояние следующих компонентов: Teredo Relay, сервер Teredo, шлюз 6to4, ISATAP, IP-HTTPS, сетевая безопасность, и DNS-серверы. Здесь также расположены кнопки, которые отображают подробную информацию по каждому из компонентов (кроме DNS-сервера), по нажатию на которую открывается оснастка «Монитор производительности» со счетчиками для выбранного компонента.

В Teredo Relay, Teredo Server, ISATAP и 6to4 отображается статус «Работает» в том случае, если была какая-либо активность в любом из виртуальных интерфейсов в течение этого интервала (10 секунд). IP-HTTPS и сетевая безопасность будет отображаться работоспособными в том случае, если была одна или более активных сессий или туннелей во время последнего установленного интервала. Если компонент не смог выполнить необходимые действия, или находится под атакой, то его статус изменяется на красный (ошибка). Если компонент находится в режиме простоя (или у него не было активных заданий) – его статус желтого цвета (предупреждение).

Заключение

В этой, заключительной части статьи, посвященной технологии DirectAccess рассмотренно подключение клиента DirectAccess к ресурсам интрасети, описаны исключения брандмауэров и удаленное управление клиентами DirectAccess. Отдельными разделами описан процесс проверки подлинности DirectAccess, описание работы NAP и принцип мониторинга DirectAccess на сервере Windows Server 2008 R2.

 

Автор: Dmitry_Bulanov


Если на странице вы заметили в посте отсутствие изображений, просьба сообщить , нажав на кнопку.



После прочтения материала " Windows 7 » Новые возможности » Введение в DirectAccess (Часть 2) ", можно просмотреть форум и поискать темы по данной игре.



ДРУГИЕ МАТЕРИАЛЫ
Samsung WiTu - репортаж с презентации
Спамеры становятся полиглотами
Первый квантовый компьютер: подробности
TDK: контроллеры для высокоскоростной флэш-памяти
Нужен ответ: иди в интернет.
Какой мужчина нужен женщине?
Цену на Fallout 3 сбросили в два раза
Избавиться от IE смогут и пользователи XP и Vista
Microsoft обновляет Windows без согласия пользователя
Система распознавания лиц заработала в аэропорту Манчестера
Процессор Core 2 Duo E8500 разогнан до 6370 МГц
Предварительный обзор нового поисковика Bing от Microsoft
Дуэт видеокарт на GeForce 9500 GT в исполнении Albatron
Прозрачный алюминий
Японцам показали кусочек Fallout 3
Игровое видео Need for Speed Undercover
Club 3D HD 3650 512 Мб для обладателей AGP-систем
Актив и пассив: две видеокарты MSI GeForce 9400 GT
StarCraft 2 выйдет в 2009 году
Саакашвили позорно сбежал. Видео!

Если вам понравился материал "Windows 7 » Новые возможности » Введение в DirectAccess (Часть 2)", - поделитесь ним с другими.


html-cсылка на публикацию
BB-cсылка на публикацию
Прямая ссылка на публикацию


Категория: Статьи: Windows 7 | Добавил: Фокусник (30.10.2009)
Просмотров: 16878

Ниже вы можете добавить комментарии к материалу " Windows 7 » Новые возможности » Введение в DirectAccess (Часть 2) "

Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.


Всего комментариев : 0
avatar
ФОРМА ВХОДА
ПОЖЕРТВОВАНИЯ

WMZ: Z143317192317
WMB: X706980753649

Boosty - Donate

Payeer: P48650932
На кофе / ko-fi
ПАРТНЕРЫ

World of Warships — это free-to-play ММО-экшен, который позволяет окунуться в мир масштабных военно-морских баталий. Возьмите под управление легендарные боевые корабли первой половины ХХ века и завоюйте господство на бескрайних океанских просторах.

Курсы обмена WebMoney


Что такое ресурс Turbobit и как качать.


Получи 10 ГБ места бесплатно, на всю жизнь.


Boosty – сервис по сбору донатов.

"Start Again" - Sam Tsui
Аватар 2 - Обзор
Аватар 2 - Обзор
Я ЕДУ - улыбнуло )))
Я ЕДУ - улыбнуло )))
Игрозор №210
Игрозор №210
Властелин колец 4 [Обзор] / [Трейлер на русском]
Властелин колец 4 [Обзор] / [Трейлер на русском]
Подмены актёров, которые никто не заметил
Подмены актёров, которые никто не заметил
15 самых необычных моментов в футболе
15 самых необычных моментов в футболе
Алеша Попович и Тугарин Змей
Алеша Попович и Тугарин Змей
33 лайфхака, которые заслуживают нобелевской премии
33 лайфхака, которые заслуживают нобелевской премии
Gamesblender № 207: Silent Hills растворилась в тумане, а Valve убрала платные моды к Skyrim
Gamesblender № 207: Silent Hills растворилась в тумане, а Valve убрала платные моды к Skyrim

9-летняя австралийка пародирует знаменитостей, используя повседневные предметы (25 фото)
9-летняя австралийка пародирует знаменитостей, используя повседневные предметы (25 фото)
Коллекция демотиваторов для хорошего настроения (17 фото)
Коллекция демотиваторов для хорошего настроения (17 фото)
Пятничный сборник демотиваторов (19 фото)
Пятничный сборник демотиваторов (19 фото)
Прикольные комментарии из соцсетей (15 шт)
Прикольные комментарии из соцсетей (15 шт)
Немного прикольных демотиваторов
Немного прикольных демотиваторов
Сборник демотиваторов для настроения (15 фото)
Сборник демотиваторов для настроения (15 фото)
Свежие приколы (27 шт)
Свежие приколы (27 шт)
Потрясающие песочные скульптуры (16 фото)
Потрясающие песочные скульптуры (16 фото)
СТАТИСТИКА
Яндекс.Метрика


Copyright © 2000-2024, Alex LTD and System PervertedХостинг от uCoz