Linux防火墙之iptables

最新推荐文章于 2024-02-18 18:33:36 发布
最新推荐文章于 2024-02-18 18:33:36 发布
阅读量252 收藏 1
点赞数
分类专栏: iptables System 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36586867/article/details/82591202
版权

目录

 

一、什么是iptables?

1.1 iptables介绍

二、iptables的四表五链

2.1 四张表

2.2 五条链

2.3 表与链的对应关系

2.4 处理动作target

三、 使用iptabes

3.1 iptables基本使用

3.2 filter过滤规则示例

3.3 防火墙扩展规则

3.3.1 根据MAC地址过滤 

3.3.2 基于多端口设置过滤规则

3.3.3 根据IP地址范围设置规则

3.4 SNAT与DNAT

3.4.1 配置SNAT源地址转换

3.4.2 MASQUERADE

3.4.3 DNAT 目标地址转换

四、iptables保存与恢复

一、什么是iptables?

1.1 iptables介绍

iptables 是与Linux 内核集成的 IP 信息包过滤系统。iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,它叫做iptables,可以将规则组成一个列表,实现绝对精确的访问控制功能

它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfilter(网络过滤器)。

netfilter / iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 共同组成。netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables 组件是一种工具,本身并不算是防火墙,只是定义规则的工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。 虽然我们使用service iptables start 可以启动iptables"服务",但准确来说,因为iptables并没有一个守护进程daemon,所以并不能算是真正意义上的服务,而是属于内核提供的功能。

netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。

状态 ESTABLISHED 指出该信息包属于已建立的连接,该连接一直用于发送和接收信息包并且完全有效。INVALID 状态指出该信息包与任何已知的流或连接都不相关联,它可能包含错误的数据或头。状态 NEW 意味着该信息包已经或将启动新的连接,或者它与尚未用于发送和接收信息包的连接相关联。最后, RELATED 表示该信息包正在启动新连接,以及它与已建立的连接相关联。

netfilter/iptables 的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特定需求,从而只允许您想要的网络流量进入系统。

另外,netfilter/iptables 是免费的,这对于那些想要节省费用的人来说十分理想,它可以代替昂贵的防火墙解决方案。

二、iptables的四表五链

2.1 四张表

Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的工具。可以定义不同的表,每个表都包含几个内部的(也可以理解为关卡),也能包含用户自定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。

  • 所有的规则都存在于下列4张表中,当这4张表处于同一条链时,执行的优先级为:raw--> mangle -->nat --> filter:
  1. raw表:关闭nat表上启用的连接追踪机制。内核模块:iptable_raw
  2. mangle表:拆解报文,修改报文,并重新封装。内核模块:iptable_mangles
  3. nat表:Network Address Translation,网络地址转换功能。内核模块:iptables_nat
  4. filter表:包过滤,用于防火墙rules规则。内核模块:iptables_filter

2.2 五条链

  • 5条链为:
  1. INPUT链:处理进入系统的数据包
  2. OUTPUT链:处理流出系统的数据包
  3. PORWARD链:处理需要转发的数据包
  4. PREROUTING链:用于目标地址转换(DNAT,外网访问内网)
  5. POSTOUTING链:用于源地址转换(SNAT,内网访问外网)

2.3 表与链的对应关系

  • 表与链的对应关系为:
  1. raw表中的规则可以使用的链:PREROUTING、OUTPUT
  2. mangle表中的规则可以使用的链:PREROUTING、POSTROUTING、INPUT、FORWARD、OUTPUT
  3. nat表中的规则可以使用的链:PREROUTING、POSTROUTING、OUTPUT(CentOS7版本以后还有INPUT)
  4. filter表中的规则可以使用的链:INPUT、FORWARD、OUTPUT

2.4 处理动作target

防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定,该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过],DROP[删除],QUEUE[排队],或者 RETURN[返回]。

ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的target目标决定。

  • 处理动作 "target"
  1. ACCEPT:允许数据包通过
  2. DROP:直接丢弃数据包,不回复任何信息
  3. REJECT:拒绝数据包通过,必要时向客户端发送一个响应信息
  4. SNAT:源地址转换,内网访问外网时使用同一个合法公网ip
  5. MASQUERADE:属于SNAT的一种特殊形式,适用于动态的、临时的、会发生改变的ip上
  6. DNAT:目标地址转换,外网访问内网时,指定目标服务器
  7. REDIRECT:在本机做端口映射
  8. LOG:在/var/log/messages 文件中记录日志信息,然后将数据包传递给下一条规则,也就是除了记录日志以外不对数据包做任何其他操作。

三、 使用iptabes

3.1 iptables基本使用

  • /sbin/iptables  -t 表名 <-A/I/D/R> 链名 [规则序号] <-i/o 网卡名> -p 协议名 <-s 源IP> --sport 源端口 <-d 目标IP> --dport 目标端口 -j 动作
  • 示例:iptables -t filter -A INPUT 2 -p icmp -j REJECT
  • 注意事项:
  1. 可以不指定表,默认为 filter 表
  2. 可以不指定链,默认对应表的所有链
  3. 如果没有匹配的规则,则使用防火墙的默认规则
  4. 选项/链名/目标操作必须用大写字母,其余都时小写
  • 常用的选项及匹配条件
  1. -t:指定要使用的表
  2. -A:向规则链尾添加条目
  3. -D:删除链内指定内容(或者序号)的一条规则    //iptables -D INPUT 3
  4. -I:向规则链的开头(或指定序号)插入条目
  5. -R:替换规则链中的条目
  6. -L:显示规则链中所有的条目
  7. -n:以数字形式显示地址,端口等信息
  8. -v:显示详细信息    //iptables -nvL
  9. --line-numbers:查看规则时,显示规则的序号    // iptables -L OUTPUT -n -v --line-numbers
  10. -F:清除规则链中所有的条目    //iptables -t filter -F
  11. -Z:清空规则链中的数据包计算器和字节计数器
  12. -N:创建新的用户自定义规则链
  13. -P:定义规则链中的默认目标规则    //iptables -t filter -P INPUT DROP
  14. -h:显示帮助信息
  15. -p:指定要匹配的数据包协议类型
  16. -s:指定要匹配的数据包源ip地址
  17. -j<目标操作>:指定要跳转的目标
  18. -i<网络接口>:指定数据包进入本机的网络接口
  19. -o<网络接口>:指定数据包要离开本机所使用的网络接口
  20. --sport:源端口
  21. --dport:目标端口
  22. --icmp-type:ICMP类型    //iptables -p icmp --help  查看可用的ICMP类型
  23. 需要取反时,用叹号 !

3.2 filter过滤规则示例

  • 主机防护,针对入站访问的源地址
  1. iptables -A INPUT -s 192.168.1.0/24 -j REJECT
  • 网络防护,针对转发访问的源地址
  1. iptables -A FORWARD -s 192.168.1.0/24 DROP
  • 保护特定网络服务,限制对指定服务端口的访问
  1. iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
  2. iptables -A INPUT -p tcp --dport 22 -j DROP
  • 禁PING相关规则,但是禁止其他主机ping本机
  1. iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
  2. iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
  3. iptables -A INPUT -p icmp ! --icmp-type  echo-request -j ACCEPT
  4. iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
  5. iptables -A OUTPUT -p icmp ! --icmp-type echo-request -j DROP

3.3 防火墙扩展规则

  • iptables在基本过滤条件的基础上还扩展了很多其他条件,在使用时需要使用-m参数来启动这些扩展功能,语法如下:
  • iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作
  • 常见的扩展条件类型如下表:
类别选项用法
扩展匹配MAC地址匹配-m mac --mac-source  <mac地址>
多端口匹配-m multiport --sports <源端口列表>
-m multiport --dports <目标端口列表>
IP范围匹配-m iprange --src-range <源ip1-ip2>
-m iprange --dst-range <目标ip1-ip2>

3.3.1 根据MAC地址过滤 

  • 根据IP过滤的规则,当对方修改IP后,防火墙会失效,根据MAC地址过滤,可以防止这种情况的发生
  1.  iptables -I INPUT -s 192.168.1.100 -p tcp --dport 22 -j DROP
  2.  iptables  -A  INPUT  -p tcp --dport 22 -m  mac --mac-source  52:54:00:00:00:0b  -j  DROP

3.3.2 基于多端口设置过滤规则

  • 一次需要过滤或放行很多端口时会比较方便
  • 多端口还可以限制多个源端口,但因为源端口不固定,一般不会使用,限制多个源端口的参数是--sports
  1. iptables -A  INPUT  -p tcp  -m  multiport --dports  20:22,25,80,110,143,16501:16800  -j ACCEPT

3.3.3 根据IP地址范围设置规则

  • 允许或者禁止从某个地址段登录
  • 这里也可以限制多个目标IP的范围,参数是--dst-range,用法与--src-range一致
  1. iptables -A INPUT -p tcp --dport 22 -m iprange --src-range192.168.4.10-192.168.4.20 -j ACCEPT
  2.  iptables -A INPUT -p tcp --dport 22  -s 192.168.4.0/24  -j  DROP

3.4 SNAT与DNAT

3.4.1 配置SNAT源地址转换

  1. 原理:在路由器后(POSTROUTING)将内网的ip地址修改为外网网卡的ip地址
  2. 应用场景:共享内部主机上网
  3. 设置SNAT:网关主机进行设置
  4. 编写规则:
    iptables -t nat -I POSTROUTING -o 外网网卡 -s 内网网段 -j SNAT --to-source 外网ip地址  //适用于外网ip地址固定场景
    iptables -t nat -I POSTROUTING -o 外网网卡 -s 内网网段 -j MASQUERADE  //适用于共享动态ip地址上网(如adsl拨号,dhcp获取外网ip)
  • 这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。
  • 现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.100在访问网页。
  • 我们需要实现的是client可以访问web服务器,但要伪装为192.168.2.5后再访问web服务器(模拟所有位于公司内部的电脑都使用的是私有IP,希望访问外网,就需要伪装为公司的外网IP后才可以)。
  • 内外网示例案例环境:
主机名网卡、ip地址及网关
Clienteth0:192.168.4.100
网关:192.168.4.5
proxyeth0:192.168.4.5
eth1:192.168.2.5
web1eth1:192.168.2.100
网关:192.168.2.5
  • 确保proxy主机开启了路由转发功能
  1. echo 1 > /proc/sys/net/ipv4/ip_forward
  • 设置防火墙规则,实现SNAT源地址转换
  1. iptables -t nat -A POSTROUTING -s  192.168.4.0/24 -p tcp --dport 80 -j SNAT --to-source 192.168.2.5
  • 查看web主机日志 tail  /var/log/httpd/access_log,通过日志会发现,客户端是先伪装为了192.168.2.5之后再访问的web服务器
  1. 192.168.2.5 - - [12/Aug/2018:17:57:10 +0800] "GET / HTTP/1.1" 200 27 "-" "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1)"

3.4.2 MASQUERADE

  • 对于proxy外网IP不固定的情况可以执行下面的地址伪装,动态伪装IP
  1. iptables  -t  nat  -A POSTROUTING -s  192.168.4.0/24 -p tcp --dport 80 -j MASQUERADE

3.4.3 DNAT 目标地址转换

  1. 原理:在路由前(PREROUTING)将来自外网访问网关公网ip及对应端口的目的ip及端口修改为内部服务器的ip及端口,实现发布内部服务器。
  2. 应用场景:发布内部主机服务。
  3. 设置DNAT:网关主机上设置。
  4. 编写防火墙规则:iptables -t nat -I PREROUTING -i 外网网卡 -d 外网ip tcp --dport 发布的端口 -j DNAT --to-destination 内网服务ip:端口
  • iptables -t nat -A PREROUTING -d 116.1.228.126 -p tcp --dport 8081 -j DNAT --to-destination 192.168.2.4:80

四、iptables保存与恢复

  1. 规则备份iptables-save    //iptables-save >/etc/sysconfig/iptables.bak
  2. 恢复规则iptables-restore    //iptables-restore >/etc/sysconfig/iptables.bak
  3. 保存规则    //service iptables save   
  • CentOS 7.x开始,CentOS开始使用systemd服务来代替daemon,原来管理系统启动和管理系统服务的相关命令全部由systemctl命令来代替。service命令只保留下了极少部分使用,大部分命令都要改用systemctl使用。在RHEL 7 / CentOS 7中,firewalld被引入来管理iptables。
#service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.
  • 如果要在7版本及以上系统中使用service iptables save,需要做如下操作:
  1. 停止firewalld服务  systemctl stop firewalld、systemctl mask firewalld
  2. 安装iptables-services  yum -y install iptables-services
  3. 设置开机自启动  systemctl enable iptables
  4. 保存防火墙规则配置  service iptables save

 

 

 

 

 

 

 

旧时光下的浮影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxIPTABLES配置详解
06-08
linuxIPTABLES配置详解
iptables
易叔叔&博客
03-13 216
iptablesiptables:netfilter包过滤防火墙,内核态,不以程序或文件形式存在:iptables命令程序,用户态,位于/sbin/iptablesiptables主要工作在OSI七层中的二、三、四层iptables &lt; 表 &lt; 链 &lt; 规则/etc/sysconfig/iptables //防火墙主配置文件iptables-save &gt;...
iptables 详解
weixin_34239592的博客
07-22 266
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP-A INPUT -p tcp -m tcp --t...
红旗Linux上的iptables使用简介(一)
weixin_34004750的博客
02-11 265
Iptables 使用简介   Iptables是一种功能强大的基于包过滤的网络工具,本文简单介绍了iptables的使用方法,以及如何利用它来构建一个网络防火墙。   Iptables由两个子系统组成,即内核模块和用户接口应用程序,它可以被编译进系统内核,也可以编译成可装卸的内核模块,之后还可以选择安装一些能够完成一定功能的部件,这些部件实现了IP地址伪装,端口映射,包...
Linux系统安全配置iptables服务
linus.lin的博客
12-09 184
linux防火墙介绍 Linux系统防火墙功能是由内核实现的,从2.4版本之后的内核中,包过滤机制是netfilter,管理工具是iptables netfilter 位于系统内核中的包过滤防火墙功能体系,被称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,是用来管理防火墙的命令工具,被称为linux防火墙的“用户态” iptables的表与链介绍 链是防火墙规...
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
Linux防火墙iptables入门教程
09-15
Iptables是专为Linux操作系统打造的极其灵活的防火墙工具。对Linux极客玩家和系统管理员来说,iptables非常有用。本文将向你展示如何配置最通用的Linux防火墙
Linux Ubuntu系统iptables防火墙配置
11-11
Linuxiptables是一个静态防火墙工具,不同于动态的firewalld。在Ubuntu 16.04中,不能直接使用iptables相关的systemctl命令进行管理,但可以通过其他方式配置和启用iptables规则。 3. 远程工具 远程访问服务器...
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
iptables规则保存
weixin_30419799的博客
08-22 771
/etc/init.d/iptables save #查看 vim /etc/sysconfig/iptables #将iptables设置为开机启动 chkconfig iptables on #查看设置结果 chkconfig --list | grep iptables 这个教程中是mac系统,可能跟linux有所区别 sudo iptables-s...
iptables-save命令 保存iptables的表配置
01-20
iptables-save命令用于保存iptables的表配置。 语法格式:iptables-save [参数] 常用参数: -c 指定要保存的iptables表时,保存当前的数据包计算器和字节计数器的值 -t 指定要保存的表的名称 参考实例 指定要保存的iptables表时,保存当前的数据包计算器和字节计数器的值: [root@linuxcool ~]# iptables-save -c > iptables.bak 指定要保存的表的名称: [root@linuxcool ~]# iptables-save -t filter > filter.bak 与该功能相关的Linu
保存 iptables 配置并设置开机启动
qq_42599616的博客
06-23 6470
在上一篇中,设置的 iptables 路由转发只是保存在内存当中,假设服务器重启,那么就会丢失该配置信息。本文中介绍如何安装 iptables(centos7 版本默认没有安装 iptables),并保存相关配置信息,做到开机自启动。...
防火墙(三) -----------------iptables规则的保存
最新发布
zzzxxx520369的博客
02-18 3042
如何永久保存,需要借助iptables-save命令,开机生效需要借助iptables-restore命令,并写入规定的配置文件中。
iptables--保存与恢复规则
香蕉一号
07-03 7876
iptables--保存与恢复规则1.概述2.优点3.缺点 1.概述 iptables 提供了两个很有用的工具用来处理大规则集: iptables-save 和iptables-restore,它们把规则存入一个与标准脚本代码只有细微查别的特殊格式的文件中,或从中恢复规则。 2.优点 使用 iptables-save 和 iptables-restore 的一个最重要的原因是,它们能在相当程度上提高装载、保存规则的速度。使用脚本更改规则的问题是,改动每个规则都要调运命令 iptables,而每一次调用 ip
使用iptables-persistent永久保存iptables规则
allway2的博客
08-16 1万+
首先安装iptables-persistent工具 sudo apt install iptables-persistent 每当设置了新的iptables规则后,使用如下命令保存规则即可,规则会根据ipv4和ipv6分别保存在了/etc/iptables/rules.v4和/etc/iptables/rules.v6文件中。 netfilter-persistent save 由于 ipt­a­bles-per­sis­tent 在安装时已经把它作为一个服务设置为开机启动了,它在开机后会自动加载已经.
iptables防火墙规则的添加 删除 修改 保存
yrryyff的博客
11-14 752
iptables防火墙规则的添加 删除 修改 保存
iptables防火墙规则的添加、删除、修改、保存
ZuoQuDeBeiYing的博客
05-07 1万+
目录 摘要  一、查看规则集 二、配置默认规则 三、增加规则 四、删除规则 五、规则的保存 摘要  本文介绍iptables这个Linux下最强大的防火墙工具,包括配置iptables三个链条的默认规则、添加iptables规则、修改规则、删除规则等。 一、查看规则集 iptables --list -n // 加一个-n以数字形式显示IP和端口...
Linux踩坑记录--开放指定端口
qq_22222663的博客
03-01 1138
Linux踩坑记录–开放指定端口注意:redhat/centos 的iptables和firewalld是两种不同的防火墙机制(firewalld是centos升级到7后新建的代替iptables的)​ 所有如果在机器上同时安装的firewalld和iptables的话,开放端口的时候,两个防火墙都要进行设置。iptables开放端口:iptables -A INPUT -s 127.0.0.1
iptables查看、开放、删除端口、保存设置
热门推荐
暴走的二哈
01-23 2万+
iptables选项 -t&lt;表&gt;:指定要操纵的表; -A:向规则链中添加条目; -D:从规则链中删除条目; -i:向规则链中插入条目; -R:替换规则链中的条目; -L:显示规则链中已有的条目; -F:清楚规则链中已有的条目; -Z:清空规则链中的数据包计算器和字节计数器; -N:创建新的用户自定义规则链; -P:定义规则链中的默认目标; -h:显示帮助信息; -p:指定要匹配的数...
Linux防火墙iptables
09-14
Linux防火墙iptables是一种专为Linux操作系统设计的高度灵活的防火墙工具。它对于Linux的技术爱好者和系统管理员来说非常有用。下面是一些配置和使用iptables的常见步骤: 1. 首先,如果你使用的是CentOS 7操作系统,默认情况下使用的是firewalld防火墙而不是iptables。如果你希望使用iptables防火墙,你需要先关闭firewalld防火墙并安装iptables。以下是一些命令示例: ``` # 关闭firewalld防火墙 systemctl stop firewalld systemctl disable firewalld # 安装iptables yum -y install iptables iptables-services.x86_64 # 启动iptables防火墙并设置开机自启 systemctl start iptables.service systemctl enable iptables.service ``` 2. iptables的基本语法由以下部分组成: ``` iptables [-t 表名 管理选项 [链名 [匹配条件 [-j 控制类型] ``` - `-t 表名`:指定要操作的表的名称,可选的表包括`filter`(默认),`nat`和`mangle`。 - 管理选项:可以是`-A`(添加规则),`-D`(删除规则),`-F`(清空规则),`-I`(插入规则)等。 - `[链名]`:指定要操作的链的名称,可以是`INPUT`(接收数据包),`OUTPUT`(发送数据包)或`FORWARD`(转发数据包)等。 - `[匹配条件]`:用于匹配特定条件的规则。 - `-j 控制类型`:指定当
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值