Bonjour à tous,
Une petite question pour les pros d'iptables ...
J'ai un réseau avec 5 entités (5 sociétés), sur 5 sous réseaux (192.168.0
... 192.168.4).
Tous doivent partager la meme connexion ADSL (8MBps).
J'ai donc mis en place un "routeur" (PIII 450,Woody) avec 6 interfaces
virtuelles (une seule carte réseau). Cf. schema :
http://www.inrezo.com/post-iptables.png
Tout cela route correctement, mais, vous l'aurez compris, le problème est
que les différents sous-réseaux soint joignables entre eux ! D'où ma
question : quel jeu de règles, le plus simple possible, devrais-je utiliser
pour empêcher cela ?
D'ailleurs, est-ce que la solution optimale se situe au niveau du firewall
?!
Merci infiniment pour vos réponses.
Raphael
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
"daniel huhardeaux" a écrit dans le message de news:
iptables -A input -p all -s 192.168.1.0/24 -d 192.168.0.0/24 -j drop iptables -A input -p all -s 192.168.2.0/24 -d 192.168.0.0/24 -j drop iptables -A input -p all -s 192.168.3.0/24 -d 192.168.0.0/24 -j drop iptables -A input -p all -s 192.168.4.0/24 -d 192.168.0.0/24 -j drop etc ...
Je m'en suis sorti comme ça (avec les 3 POLICY en ACCEPT) : iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP
Ca marche au poil. Reste cependant le problème évoqué dans l'autre thread : ça n'empeche personne de se déclarer dans le sous-réseau de son choix .... Mais là je ne vois pas comment faire puisque je ne peux pas stacker mes switchs (merci netgear) pour faire des VLAN propres ...
Un grand merci à tous. Raph
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
"daniel huhardeaux" <no-spam@tootai.net> a écrit dans le message de news:
42033FFE.4070502@tootai.net...
iptables -A input -p all -s 192.168.1.0/24 -d 192.168.0.0/24 -j drop
iptables -A input -p all -s 192.168.2.0/24 -d 192.168.0.0/24 -j drop
iptables -A input -p all -s 192.168.3.0/24 -d 192.168.0.0/24 -j drop
iptables -A input -p all -s 192.168.4.0/24 -d 192.168.0.0/24 -j drop
etc ...
Je m'en suis sorti comme ça (avec les 3 POLICY en ACCEPT) :
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP
Ca marche au poil. Reste cependant le problème évoqué dans l'autre thread :
ça n'empeche personne de se déclarer dans le sous-réseau de son choix ....
Mais là je ne vois pas comment faire puisque je ne peux pas stacker mes
switchs (merci netgear) pour faire des VLAN propres ...
Un grand merci à tous.
Raph
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
"daniel huhardeaux" a écrit dans le message de news:
iptables -A input -p all -s 192.168.1.0/24 -d 192.168.0.0/24 -j drop iptables -A input -p all -s 192.168.2.0/24 -d 192.168.0.0/24 -j drop iptables -A input -p all -s 192.168.3.0/24 -d 192.168.0.0/24 -j drop iptables -A input -p all -s 192.168.4.0/24 -d 192.168.0.0/24 -j drop etc ...
Je m'en suis sorti comme ça (avec les 3 POLICY en ACCEPT) : iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP
Ca marche au poil. Reste cependant le problème évoqué dans l'autre thread : ça n'empeche personne de se déclarer dans le sous-réseau de son choix .... Mais là je ne vois pas comment faire puisque je ne peux pas stacker mes switchs (merci netgear) pour faire des VLAN propres ...
Un grand merci à tous. Raph
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Laurent CARON
Raph wrote:
"Laurent CARON" a écrit dans le message de news:
Pourquoi ne pas acheter des interfaces réseau multiports? Genre 2 cartes 4 ports ethernet et gérer ça au niveau de la passerelle linux?
hors budget :-(
Pour une entreprise, une centaine d'€ par carte ne me semblait pas un obstacle.
Au temps pour moi.
Laurent
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Raph wrote:
"Laurent CARON" <lcaron@apartia.fr> a écrit dans le message de news:
Pourquoi ne pas acheter des interfaces réseau multiports?
Genre 2 cartes 4 ports ethernet et gérer ça au niveau de la passerelle
linux?
hors budget :-(
Pour une entreprise, une centaine d'€ par carte ne me semblait pas un
obstacle.
Au temps pour moi.
Laurent
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Pourquoi ne pas acheter des interfaces réseau multiports? Genre 2 cartes 4 ports ethernet et gérer ça au niveau de la passerelle linux?
hors budget :-(
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Raph
"Antoine Comte" a écrit dans le message de news:
Tu es sur de cela ? cela va à l'encontre même du principe de base des vlans qui est de créer des réseaux logiques en s'affranchissant (du moins partiellement) des contraintes géographiques.
Yes, avec ça en tout cas : http://www.netgear.fr/produits/FT/fsm750s.asp :(
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
"Antoine Comte" <antoine@comte.cc> a écrit dans le message de news:
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du moins
partiellement) des contraintes géographiques.
Yes, avec ça en tout cas : http://www.netgear.fr/produits/FT/fsm750s.asp
:(
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Tu es sur de cela ? cela va à l'encontre même du principe de base des vlans qui est de créer des réseaux logiques en s'affranchissant (du moins partiellement) des contraintes géographiques.
Yes, avec ça en tout cas : http://www.netgear.fr/produits/FT/fsm750s.asp :(
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Antoine Comte
Raph a écrit :
"Antoine Comte" a écrit dans le message de news:
Tu es sur de cela ? cela va à l'encontre même du principe de base des vlans qui est de créer des réseaux logiques en s'affranchissant (du moins partiellement) des contraintes géographiques.
Yes, avec ça en tout cas : http://www.netgear.fr/produits/FT/fsm750s.asp :(
Si ca devrait fonctionner normalement. Il faut définir les mêmes vlan id sur chacuns des switch et faire attention que le port qui est utilisé pour connecter un switch à un autre participe à tout les vlans. Idem pour le port sur lequel est connecté le router/firewall.
Antoine
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Raph a écrit :
"Antoine Comte" <antoine@comte.cc> a écrit dans le message de news:
Tu es sur de cela ? cela va à l'encontre même du principe de base des
vlans qui est de créer des réseaux logiques en s'affranchissant (du moins
partiellement) des contraintes géographiques.
Yes, avec ça en tout cas : http://www.netgear.fr/produits/FT/fsm750s.asp
:(
Si ca devrait fonctionner normalement. Il faut définir les mêmes vlan id
sur chacuns des switch et faire attention que le port qui est utilisé
pour connecter un switch à un autre participe à tout les vlans. Idem
pour le port sur lequel est connecté le router/firewall.
Antoine
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Tu es sur de cela ? cela va à l'encontre même du principe de base des vlans qui est de créer des réseaux logiques en s'affranchissant (du moins partiellement) des contraintes géographiques.
Yes, avec ça en tout cas : http://www.netgear.fr/produits/FT/fsm750s.asp :(
Si ca devrait fonctionner normalement. Il faut définir les mêmes vlan id sur chacuns des switch et faire attention que le port qui est utilisé pour connecter un switch à un autre participe à tout les vlans. Idem pour le port sur lequel est connecté le router/firewall.
Antoine
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Patrice OLIVER
a écrit :
Patrice OLIVER a écrit :
Ben oui. Puisque les stations partage alors le même réseau physique. Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se faire passer pour membre de 192.168.2.0 par exemple.
Exactement.
<aol>Pareil</aol>
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils doivent être stackés pour répercuter la configuration des VLAN, ce qui est impossible vu la configuration géographique de ces switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des vlans qui est de créer des réseaux logiques en s'affranchissant (du moins partiellement) des contraintes géographiques.
Chuis d'accord. Réseaux "logiques" de niveau 2.
Là où je ne suis pas d'accord, c'est que les vlans, c'est fait pour être transporté, quelle que soit la localisation géographique des switchs. Pas besoins pour celà de les stacker. Il suffit de tagger les liens inter-switchs avec tous les vlans à transporter. Dans mon entreprise, je transporte les vlans sur 12 locaux techniques, 17 équipements, 5 étages et plusieurs bâtiments sans stacker. Que l'on soit bien clairs, il n'est pas nécessaire de disposer de switchs niveau 3 pour faire celà. Je dispose de switchs HP procurve 2512, 2524, 4104, 4108 et celà fonctionne.
Pour celà, il faut que les cartes réseau de tes stations puissent être compatibles 802.1Q, et marquer les VLANs,
Surtout pas ! Si ce sont les stations elles-mêmes qui taggent leurs trames, alors on en revient à la situation de départ avec les sous-réseaux IP : elles peuvent se déclarer dans le VLAN de leur choix.
Je penses que là, il y a deux écoles. L'avantage de disposer de cartes réseau qui permettent de taggage des vlans, c'est des pouvoir accéder à plusieurs vlans, et de pouvoir utiliser GVRP, qui permet notament l'attribution dynamique d'un port dans un ou plusieurs vlans. Les postes qui disposent d'une carte qui ne permet l'utilisation que d'un seul vlan ne peuvent pas faire celà. Donc, pour moi, celà ne sert à rien. Ensuite, en tant que responsable réseau, j'estime que ce n'est pas à l'utilisateur de configurer sa carte réseau. Ce n'est pas son métier, et bien souvent pas au coeur de ses préoccupations. Tout ce qu'il veut, c'est utiliser son outil informatique et que celà fonctionne. De plus, sur une station windows 2000, Windows XP Pro, il faut être administrateur de sa macine pour modifier celà, ce que ne sont pas les utilisateurs. J"irai même plus loin : un développeur n'est pas administrateur de sa station. Il n'est ni responsable système, ni responsable sécurité. Pour terminer, si toutefois l'utilisateur hérite des droits administrateur qui lui permettent de modifier ses propriétés réseau, il faut qu'il soit au courant des numéros de vlans et des sous-adressage réseau.
Certes, pour y parvenir, il y a la technique du social engineering. Mais pour parrer celà, il faut plutôt sensibiliser les utilisateurs que de s'en remettre à de seules solutions techniques et technologiques.
;)
il faut aussi que la carte réseau de ton PF puisse le faire, autrement ...
En effet. Avec le module 8021q du noyau et l'outil vconfig, ça marche bien même avec des cartes classiques. Il faut définir une interface VLAN pour chaque sous-réseau, et limiter le routage entre elles. Pour certaines cartes qui ne supportent pas les trames de plus de 1518 octets, il est nécessaire de réduire la MTU à 1496.
Exactement.
Les trames VLAN taggées ne doivent circuler qu'entre les switches et la passerelle Linux. La configuration des switches doit définir quel port non taggué est dans quel VLAN. Pour les stations, c'est transparent, elles ne voient que des trames normales.
Sauf si une station, come je l'ai dit plus haut, doit appartenir à plus de deux VLANs. Si une station doit appartenir à deux vlans, et que la carte de celle ci peut parquer un vlan, on peut encore s'en sortir. Dans mon cas, il y a des stations qui utilisent 3 vlans, et là il faut disposer des cartes qui le permettent.
;)
Bon week-end, Patrice.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal@plouf a écrit :
Patrice OLIVER a écrit :
Ben oui. Puisque les stations partage alors le même réseau physique.
Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se
faire passer pour membre de 192.168.2.0 par exemple.
Exactement.
<aol>Pareil</aol>
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et
ils doivent être stackés pour répercuter la configuration des VLAN,
ce qui est impossible vu la configuration géographique de ces
switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base
des vlans qui est de créer des réseaux logiques en s'affranchissant
(du moins partiellement) des contraintes géographiques.
Chuis d'accord. Réseaux "logiques" de niveau 2.
Là où je ne suis pas d'accord, c'est que les vlans, c'est fait pour être
transporté, quelle que soit la localisation géographique des switchs.
Pas besoins pour celà de les stacker. Il suffit de tagger les liens
inter-switchs avec tous les vlans à transporter. Dans mon entreprise, je
transporte les vlans sur 12 locaux techniques, 17 équipements, 5 étages
et plusieurs bâtiments sans stacker. Que l'on soit bien clairs, il
n'est pas nécessaire de disposer de switchs niveau 3 pour faire celà. Je
dispose de switchs HP procurve 2512, 2524, 4104, 4108 et celà fonctionne.
Pour celà, il faut que les cartes réseau de tes stations puissent
être compatibles 802.1Q, et marquer les VLANs,
Surtout pas !
Si ce sont les stations elles-mêmes qui taggent leurs trames, alors on
en revient à la situation de départ avec les sous-réseaux IP : elles
peuvent se déclarer dans le VLAN de leur choix.
Je penses que là, il y a deux écoles. L'avantage de disposer de cartes
réseau qui permettent de taggage des vlans, c'est des pouvoir accéder à
plusieurs vlans, et de pouvoir utiliser GVRP, qui permet notament
l'attribution dynamique d'un port dans un ou plusieurs vlans. Les postes
qui disposent d'une carte qui ne permet l'utilisation que d'un seul vlan
ne peuvent pas faire celà. Donc, pour moi, celà ne sert à rien.
Ensuite, en tant que responsable réseau, j'estime que ce n'est pas à
l'utilisateur de configurer sa carte réseau. Ce n'est pas son métier, et
bien souvent pas au coeur de ses préoccupations. Tout ce qu'il veut,
c'est utiliser son outil informatique et que celà fonctionne. De plus,
sur une station windows 2000, Windows XP Pro, il faut être
administrateur de sa macine pour modifier celà, ce que ne sont pas les
utilisateurs.
J"irai même plus loin : un développeur n'est pas administrateur de sa
station. Il n'est ni responsable système, ni responsable sécurité.
Pour terminer, si toutefois l'utilisateur hérite des droits
administrateur qui lui permettent de modifier ses propriétés réseau, il
faut qu'il soit au courant des numéros de vlans et des sous-adressage
réseau.
Certes, pour y parvenir, il y a la technique du social engineering. Mais
pour parrer celà, il faut plutôt sensibiliser les utilisateurs que de
s'en remettre à de seules solutions techniques et technologiques.
;)
il faut aussi que la carte réseau de ton PF puisse le faire,
autrement ...
En effet. Avec le module 8021q du noyau et l'outil vconfig, ça marche
bien même avec des cartes classiques. Il faut définir une interface
VLAN pour chaque sous-réseau, et limiter le routage entre elles. Pour
certaines cartes qui ne supportent pas les trames de plus de 1518
octets, il est nécessaire de réduire la MTU à 1496.
Exactement.
Les trames VLAN taggées ne doivent circuler qu'entre les switches et
la passerelle Linux. La configuration des switches doit définir quel
port non taggué est dans quel VLAN. Pour les stations, c'est
transparent, elles ne voient que des trames normales.
Sauf si une station, come je l'ai dit plus haut, doit appartenir à plus
de deux VLANs. Si une station doit appartenir à deux vlans, et que la
carte de celle ci peut parquer un vlan, on peut encore s'en sortir.
Dans mon cas, il y a des stations qui utilisent 3 vlans, et là il faut
disposer des cartes qui le permettent.
;)
Bon week-end,
Patrice.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ben oui. Puisque les stations partage alors le même réseau physique. Rien n'empêcherait un "petit malin" du sous-réseau 192.168.0.0 de se faire passer pour membre de 192.168.2.0 par exemple.
Exactement.
<aol>Pareil</aol>
Pour le VLAN, on a des gros switchs NETGEAR, mais sur 3 étages, et ils doivent être stackés pour répercuter la configuration des VLAN, ce qui est impossible vu la configuration géographique de ces switchs. :-(
Tu es sur de cela ? cela va à l'encontre même du principe de base des vlans qui est de créer des réseaux logiques en s'affranchissant (du moins partiellement) des contraintes géographiques.
Chuis d'accord. Réseaux "logiques" de niveau 2.
Là où je ne suis pas d'accord, c'est que les vlans, c'est fait pour être transporté, quelle que soit la localisation géographique des switchs. Pas besoins pour celà de les stacker. Il suffit de tagger les liens inter-switchs avec tous les vlans à transporter. Dans mon entreprise, je transporte les vlans sur 12 locaux techniques, 17 équipements, 5 étages et plusieurs bâtiments sans stacker. Que l'on soit bien clairs, il n'est pas nécessaire de disposer de switchs niveau 3 pour faire celà. Je dispose de switchs HP procurve 2512, 2524, 4104, 4108 et celà fonctionne.
Pour celà, il faut que les cartes réseau de tes stations puissent être compatibles 802.1Q, et marquer les VLANs,
Surtout pas ! Si ce sont les stations elles-mêmes qui taggent leurs trames, alors on en revient à la situation de départ avec les sous-réseaux IP : elles peuvent se déclarer dans le VLAN de leur choix.
Je penses que là, il y a deux écoles. L'avantage de disposer de cartes réseau qui permettent de taggage des vlans, c'est des pouvoir accéder à plusieurs vlans, et de pouvoir utiliser GVRP, qui permet notament l'attribution dynamique d'un port dans un ou plusieurs vlans. Les postes qui disposent d'une carte qui ne permet l'utilisation que d'un seul vlan ne peuvent pas faire celà. Donc, pour moi, celà ne sert à rien. Ensuite, en tant que responsable réseau, j'estime que ce n'est pas à l'utilisateur de configurer sa carte réseau. Ce n'est pas son métier, et bien souvent pas au coeur de ses préoccupations. Tout ce qu'il veut, c'est utiliser son outil informatique et que celà fonctionne. De plus, sur une station windows 2000, Windows XP Pro, il faut être administrateur de sa macine pour modifier celà, ce que ne sont pas les utilisateurs. J"irai même plus loin : un développeur n'est pas administrateur de sa station. Il n'est ni responsable système, ni responsable sécurité. Pour terminer, si toutefois l'utilisateur hérite des droits administrateur qui lui permettent de modifier ses propriétés réseau, il faut qu'il soit au courant des numéros de vlans et des sous-adressage réseau.
Certes, pour y parvenir, il y a la technique du social engineering. Mais pour parrer celà, il faut plutôt sensibiliser les utilisateurs que de s'en remettre à de seules solutions techniques et technologiques.
;)
il faut aussi que la carte réseau de ton PF puisse le faire, autrement ...
En effet. Avec le module 8021q du noyau et l'outil vconfig, ça marche bien même avec des cartes classiques. Il faut définir une interface VLAN pour chaque sous-réseau, et limiter le routage entre elles. Pour certaines cartes qui ne supportent pas les trames de plus de 1518 octets, il est nécessaire de réduire la MTU à 1496.
Exactement.
Les trames VLAN taggées ne doivent circuler qu'entre les switches et la passerelle Linux. La configuration des switches doit définir quel port non taggué est dans quel VLAN. Pour les stations, c'est transparent, elles ne voient que des trames normales.
Sauf si une station, come je l'ai dit plus haut, doit appartenir à plus de deux VLANs. Si une station doit appartenir à deux vlans, et que la carte de celle ci peut parquer un vlan, on peut encore s'en sortir. Dans mon cas, il y a des stations qui utilisent 3 vlans, et là il faut disposer des cartes qui le permettent.
;)
Bon week-end, Patrice.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
