Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » iptables - komunikaty
#26 2016-02-03 22:58:55
morfik - 
Cenzor wirtualnego świata
Re: iptables - komunikaty
Poczytalem jednak o ogolnych zasadach budowy optymalnego konfigu regol iptables. Jest tego ok 20 zasad.[/quote]
Chyba muszę poczytać o nich, bo nigdy się nad jakimiś zasadami nie zastanawiałem. xDSzkoda, ze wg statystyk iptables uzywa ok 0,4% a SELinuxa jak pisza ponad 99% rynku. Dlaczego tak jest?[/quote]
Może nie wiedzą, że używają iptables albo przeszli na nftables. xD- czy ip4v i ip6v sie komunikuja?[/quote]
Co znaczy komunikują? Chcesz pingnąć z adresu ipv4 adres ipv6? No to tak się nie da. :] Ale można [url=https://en.wikipedia.org/wiki/6in4]tunelować ipv6 wewnątrz ipv4[/url].- co z conntrackiem w wersji ip6v ?[/quote]
A co ma być? xD- po polsku to chyba nic nie ma na ten temat?[/quote]
Za to po angielsku jest cała masa.- co jest najslabszym punktem iptables biorac pod uwage skutecznosc obrony?[/quote]
Administrator. xDOffline
#27 2016-02-04 00:56:46
Jacekalex -
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
czy ip4v i ip6v sie komunikuja?[/quote]
Tak i nie.
Ipv6 ma warstwę kompatybilności z IPv4:2002::/24 – adresy typu 6to4. Są to adresy wygenerowane na podstawie istniejących, publicznych adresów IPv4, dostępne dla każdego użytkownika.[/quote]
Za to IPv4 w ogóle nie wie, co to IPv6, i nie gada z nim bezpośrednio,
tylko ewentualnie przez bramki 6to4.
UTFW:
https://pl.wikipedia.org/wiki/IPv4
https://pl.wikipedia.org/wiki/IPv6Ostatnio edytowany przez Jacekalex (2016-02-04 00:57:12)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#28 2016-02-04 02:47:56
morfik -
Re: iptables - komunikaty
Ha! Myślałem, że to nieco trudniejsze będzie ale:
[img]http://i.imgur.com/txnC6er.png[/img]
Nie chciało póki co wejść na systemd ale poszło na ifupdown. Musze jeszcze poczytać jak to skonfigurować na systemd, grunt że działa. xDOffline
#29 2016-02-04 02:58:13
Jacekalex -
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
[quote=morfik]Ha! Myślałem, że to nieco trudniejsze będzie ale:
[url]http://i.imgur.com/txnC6er.png[/url]
Nie chciało póki co wejść na systemd ale poszło na ifupdown. Musze jeszcze poczytać jak to skonfigurować na systemd, grunt że działa. xD[/quote]
Hmm...ping6 -c3 ipv6.google.com
PING ipv6.google.com(fra07s29-in-x04.1e100.net) 56 data bytes
64 bytes from fra07s29-in-x04.1e100.net: icmp_seq=1 ttl=59 time=28.6 ms
64 bytes from fra07s29-in-x04.1e100.net: icmp_seq=2 ttl=59 time=28.5 ms
64 bytes from fra07s29-in-x04.1e100.net: icmp_seq=3 ttl=59 time=28.6 ms
--- ipv6.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 28.592/28.629/28.649/0.140 ms[/quote]
[url=http://s16.postimg.org/wvop5ukcl/ipvt6est.png][img]http://s16.postimg.org/6am6aahz5/ipvt6est.jpg[/img][/url]Musze jeszcze poczytać jak to skonfigurować na systemd[/quote]
PoCoTo?
SOA#1Ostatnio edytowany przez Jacekalex (2016-02-04 02:58:42)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#30 2016-02-04 03:06:57
morfik -
Re: iptables - komunikaty
Bo mam konfiguracje sieci przeniesioną już na systemd. Mam też mirror na ifupdown i trzymam to w sync. Poza tym, lepiej wiedzieć więcej niż mniej. xD
U mnie tak wyglądają te czasy:
[img]http://i.imgur.com/GiXsu23.png[/img]Ostatnio edytowany przez morfik (2016-02-04 03:13:17)
Offline
#31 2016-02-04 03:17:54
Jacekalex -
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
Twój ISP dostarcza IPv6, czy korzystasz z jakiegoś tunelu?
Bo u mnie ISP w ogóle nie wie, co to jest IPv6 (może myślą, że jakiś spisek Marsjan), dlatego używam Teredo.
:DOstatnio edytowany przez Jacekalex (2016-02-04 03:22:11)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#32 2016-02-04 03:22:03
morfik -
Re: iptables - komunikaty
Mój isp jest totalnie zacofany i on nigdy ipv6 nie będzie dostarczał. Za kilka miechów się kończy umowa i odchodzę od niego. Jadę na tunelu, bo mam zew IP.
W sumie to na debianie wystarczyło jedynie dodać:Kod:
auto 6to4 iface 6to4 inet6 6to4 local 192.0.2.3I zmienić ten adres na zew i tyle roboty z ustawieniem tunelu. Na systemd nie chce mi tego interfejsu utworzyć i to jest problem. xD
Ostatnio edytowany przez morfik (2016-02-04 03:25:44)
Offline
#33 2016-02-04 04:27:21
Jacekalex -
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
[s]Którego tunelu używasz?
Jakiś sznurek jest do niego?[/s]
Dobra, jest:Kod:
ip -6 r s 2001::/32 dev te6 proto kernel metric 256 2002:b2d7:cf72::/48 dev 6to4 proto kernel metric 256 2000::/3 via ::192.88.99.1 dev 6to4 metric 2147483647Sznurek:
http://www.gentoo-wiki.info/IPv6#IPv6_Tunneling_with_6to4Ostatnio edytowany przez Jacekalex (2016-02-04 05:10:35)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#34 2016-02-04 10:12:01
uzytkownikubunt -
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: iptables - komunikaty
2658
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:19)
Offline
#35 2016-02-04 13:35:04
morfik -
Re: iptables - komunikaty
Raczej w dużej mierze dla zabawy. Przecie i tak wszystko jest dostępne po ipv4. Może jakieś tam pojedyncze strony siedzą tylko na ipv6 ale to raczej pojedyncze przypadki. Poza tym, ipv4 i tak w końcu dokona żywota i trzeba będzie przejść na ipv6 i lepiej już zacząć się przyzwyczajać. xD
Offline
#36 2016-02-04 14:12:33
Novi-cjusz -
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
Co prawda to prawda. Liczba urzadzen internetowych (glownie malogabarytowych) rosnie nieprzerwanie w jakims tam ciagu, natomiast pula adresow IP jest stala i IPv6 wczesniej czy pozniej bedzie koniecznoscia. Lepiej wczesniej rozpoznac przeciwnika(;-i
Mala lista potencjalnych? aktualnych! zagrozen https://www.aldeid.com/wiki/THC-IPv6-Attack-Toolkit
Czesciowa odpowiedz dla "uzytkownikubunt" na pytanie:Jest jakaś zaleta posiadania obecnie IPv6 na desktopie czy to raczej dla zabawy?[/quote]
Kod:
https://www.thomas-krenn.com/pl/wiki/Wy%C5%82%C4%85czenie_IPv6Pewnie warto poszukac pod haslem "Aplikacje, które wymagają obsługi IPv6"
BTW, prosba o krotki instruktaz jak wykonac linka do zakotwiczenia na innej stronie www, zebym docelowo mogl wskazac potrzebne miejsce za pomoca np, "TUTAJ" w czerwonym kolorze.
Gdyby ktos mogl rozwinac temat:relacja tresci pliku sysctl.conf do regol firewalla. Czesc problematyki sie powtarza. Jak do tego podejsc?[/quote]
To by mi wiele wyjasnilo, bo ostatnioi dalem sobie restrykcyjny sysctl.conf na iptables, ktore mi dzialaly perfekt, a po skrypcie blokada dostepu do InternetuOstatnio edytowany przez Novi-cjusz (2016-02-04 14:43:48)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."Offline
#37 2016-02-04 14:49:31
ethanak -
Re: iptables - komunikaty
@morfik: nieśmiało zauważam że internet to nie tylko strony.
msm np. jeden adres ipv4 i kilka maszyn, które powinny z różnych przyczyn mieć zewnętrzny ip... to jeden z powodów dla których od dłuższego czasu używam w domu ipv6 równolegle do 4.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]Offline
#38 2016-02-04 15:17:55
Novi-cjusz -
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
po polsku nic nie ma[/quote]
Z chwalebnymi wyjatkami: http://tplink-forum.pl/faq-alternatywne-oprogramowanie/openwrt-w-pigulce-%28konfiguracja-w-oparciu-o-tl-wr1043nd-v2-1-oraz-arch-3065/msg20546/#msg20546
Wiecej by sie przydalo.
Np na temat, ktore porty musza ! byc otwarte, a ktore nie? Czy ta komenda daje prawidlowa odpowiedz?Kod:
egrep '(your|list|items|here)' /etc/services | awk '{print $2}'Ciekawe watki:
- http://serverfault.com/questions/424026/typical-outbound-port-list-for-guest-access?rq=1
- http://serverfault.com/questions/86105/outbound-ports-that-are-always-open?rq=1
Czy warunek RELATED ESTABLISHED w regole gwarantuje, ze wszystkie inne nie maja dostepu do Internetu?
BTW. Dla osob zainteresowanych szybkoscia downloadu torrentow: http://phix.me/dm/
Bardzo ciekawe narzedzie do analizy trafficu: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk30583
Niestety wszystko wymaga czasu.Ostatnio edytowany przez Novi-cjusz (2016-02-04 16:11:07)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."Offline
#39 2016-02-04 17:25:32
morfik -
Re: iptables - komunikaty
@Novi-cjusz, zapora to zapora, a ustawienia kernela to ustawienia kernela. Część zadań się nakłada, np. blokowanie pingu na broadcast, reszta może być realizowana przez jeden mechanizm lub drugi. To, że ci net ucięło po zaaplikowaniu reguł, to już twoja wina. Zamiast sklepać na ślepo opcje w sysctl, to zainteresuj się za co one odpowiadają. Dałem ci kiedyś [url=https://github.com/morfikov/files/blob/master/configs/etc/sysctl.conf]mój sysctl.conf,[/url]tam jest wyjaśnione skrótowo do czego te opcje są. Wprawdzie ja sobie ten plik buduje od dłuższego czasu i pewnie tam niekiedy są jakieś herezje popisane ale poprawiam jak się czegoś dowiem nowego. xD Googlaj za parametrami i dopiero ustawiaj, a nie odwrotnie i się dziwisz, że uwaliło net. To, że dane ustawienia działają w jednej sieci, nie znaczy, że będą odpowiednie dla innej.
Wiecej by sie przydalo.[/quote]
Ja sobie piszę z pasji, nikt mi za to nie płaci. Mam czas to piszę, nie mam to nie piszę. Poza tym, na aktualizację wpisów to już trzeba etat, a społeczność nie wspiera, tylko ciągle chce brać, więc jest mało. Hmm, [url=http://tplink-forum.pl/faq-alternatywne-oprogramowanie/openwrt-w-pigulce-%28konfiguracja-w-oparciu-o-tl-wr1043nd-v2-1-oraz-arch-3065/msg20546/]ten HOWTO o openwrt na form tp-linka[/url] robi furorę widzę (25462 wejść w nieco ponad rok). xDNp na temat, ktore porty musza ! byc otwarte, a ktore nie? Czy ta komenda daje prawidlowa odpowiedz?[/quote]
Zablokuj cały ruch i zacznij logować pakiety na iptables, będziesz widział co masz otworzyć.Offline
#40 2016-02-04 19:01:37
Jacekalex -
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
[quote=uzytkownikubunt]Jest jakaś zaleta posiadania obecnie IPv6 na desktopie czy to raczej dla zabawy?
Dawno temu filtrowałem przez [url=http://manpages.debian.org/cgi-bin/man.cgi?query=ip6tables]ip6tables[/url], ale potem po prostu wyłączałem w jądrze IPv6.[/quote]
Jak Ci durnie od ISP zablokują wyście na normalne DNS'y (z wyjątkiem DNS Google, których Chrome używa), i to w dodatku poprzez przekierowanie dport 53 na ich firmowy DNS, co netfilter wita radosnym komunikatem w logach "martian source", to docenisz tunel Ipv6 momentalnie. xDOstatnio edytowany przez Jacekalex (2016-02-04 19:24:06)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#41 2016-02-04 19:12:17
uzytkownikubunt -
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: iptables - komunikaty
2662
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:24)
Offline
#42 2016-02-04 19:13:50
ethanak -
Re: iptables - komunikaty
a tak przy okazji i z czystej ciekawości: jaki jest sens blokowania ruchu z sieci, do której nie jestem podłączony?
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
[i]Zespół Adwokacki Dyskrecja[/i]Offline
#43 2016-02-04 19:27:09
Jacekalex -
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables - komunikaty
[quote=uzytkownikubunt]Zamiast IPv6 można spróbować wtedy np DNSCrypt.[/quote]
Pewnie że można, ale nie che mi się tak gimnastykować.
Z resztą IPv6 w końcu wejdzie, wystarczy że FB albo YT wyłączy na tydzień IPv4, i połowa naszych miluśińskich ISP zakończy działalność pod naporem wściekłych klientek, które nie mogą zobaczyć, jaką szminkę dziś używała ta .... xD
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)Offline
#44 2016-02-04 21:04:09
uzytkownikubunt -
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: iptables - komunikaty
2663
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:25)
Offline
#45 2016-02-05 00:02:04
morfik -
Re: iptables - komunikaty
To coś masz nie tak albo ja mam coś nie tak. xD U mnie zapytania zarówno google-chrome jak i chromium lecą tam gdzie wskazuje /etc/resolv.conf :
[img]http://i.imgur.com/5BLAqcp.png[/img]
W pierwszym okienku są zapytania DNS na zewnętrzny interfejs. W drugim jest ruch do dnsmasq (cache DNS), w trzecim zaś jest resolver dnscrypt-proxy. Plik /etc/resolv.conf wskazuje na dnsmasq, ten jak nie ma wpisów, to śle do dnscrypt-proxy, a ten w świat. Nie widać żadnych DNSów na wyjściu kompa, czyli bond0.Offline
#46 2016-02-05 00:12:53
uzytkownikubunt -
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: iptables - komunikaty
2667
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:30)
Offline
#47 2016-02-05 09:43:56
morfik -
Re: iptables - komunikaty
Sprawdziłem wszystkie trzy linki i na firefox i google-chrome i chromoium. DNS jest taki sam: 77.67.54.68 m1.wrw.opendns.com. Trochę to dziwne, nie powinien być ten standardowy opendns? xD Przestawiłem na 8.8.8.8 i tam jest ze 20 adresów rozpoczynających się od 74.125. xD
Ostatnio edytowany przez morfik (2016-02-05 09:50:31)
Offline
#48 2016-02-05 15:23:06
Novi-cjusz -
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
Moja docelowa idee fix wyglada nastepujaco, najpierw chcialem uzyc do tego jakiegos screen - slice albo screen - tailing oprogramowania w ostatecznosci wirtualne desktopy jak Compiz, zeby wylaczyc czesc ekranu do biezacej, aktualnej analizy calego trafficu.
Po zastanowieniu widze, ze najlepszym rozwiazaniem bedzie dodatkowy ekran albo stary laptop jako narzedzie wizualizacji i monitoringu calego ruchu.
Na tym dodatkowym ekranie od gory:
- INBOUND dynamiczny wykres utylizacji lacza z wyszczegolnieniem np roznych protokolow za pomoca roznych kolorow
- OUTBOUND jw.
Ponizej dynamiczna mapa akualnych polaczen na mapie np Google Moze jakies alerty. Np, https://www.facebook.com/openvisualtraceroute http://www.binarytides.com/turbotrace/
Mylace wyniki: http://www.yougetsignal.com/tools/visual-tracert/
W tle pracujace logowanie wszystkich polaczen (nie pakietow), odnawiane przez Logrotate
Na to aplikacja wizualizujaca na biezaco stany logow.
Sprawami,ktore trzeba przemyslec to bezpieczenstwo (w aspekcie kryterium - privacy):
- zapytan DNS, niestetyLooks like your DNS might be leaking...[/quote]
- tablicy ARP
- adresu IP
To by dopiero byla radocha odpalic maszyne i widziec wszystko na biezaco, modyfikowac konfig iptables i patrzec jak sie zmieniaja polaczenia i ich parametry (:D
Jeszcze mi sporo brakuje, dlatego stawiam duze piwo kazdemu kto poda praktyczne rozwiazania.
Ps. To o czym pisze nie jest niczym nowym dla rozwiazan monitoringu serwera, niestety dla desktopa sprawa wyglada juz wiele gorzej.
-Ostatnio edytowany przez Novi-cjusz (2016-02-06 12:53:09)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."Offline
#49 2016-02-06 11:17:04
uzytkownikubunt -
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: iptables - komunikaty
2671
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:35)
Offline
#50 2016-02-06 11:25:40
Novi-cjusz -
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: iptables - komunikaty
Rozwiazanie bardzo ciekawe, gdybys mogl napisac pare szczegulow wiecej?
A,propos TORa:
- http://linuxaria.com/howto/how-to-anonymize-the-programs-from-your-terminal-with-torify
- http://howto.biapy.com/en/debian-gnu-linux/servers/http/install-the-anonymizing-proxy-server-tor-on-debian
- http://www.debian.pl/entries/279-konfiguracja-przegl%C4%85darki-i-privoxy-tor-i2p
- http://www.devconsole.info/?p=848
Samo nawet najbardziej niewinne uzycie TORa powoduje automatyczne zainteresowanie "przyjaciol"-
A co z ARP table?
Jezeli mozemy filtrowac traffic OUTGOING po flagach SYN nadawanych pakietom, to jak filtrowac pakiety ktore nie stosuja handshake?
A w ogole to czy ktos wie ile jest protokolow w Internecie, bo na moja logike to moze byc nieskonczenie wiele.Ostatnio edytowany przez Novi-cjusz (2016-02-06 11:45:56)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."Offline
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » iptables - komunikaty
Informacje debugowania
Time (s) Query 0.00015 SET CHARSET latin2 0.00009 SET NAMES latin2 0.00182 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.224.65.106' WHERE u.id=1 0.00104 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.224.65.106', 1720195540) 0.00068 SELECT * FROM punbb_online WHERE logged<1720195240 0.00120 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27986 AND t.moved_to IS NULL 0.00009 SELECT search_for, replace_with FROM punbb_censoring 0.00595 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27986 ORDER BY p.id LIMIT 25,25 0.00131 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27986 Total query time: 0.01233 s
