From f3539231c2b6a2e1d76643009ff1235a66830602 Mon Sep 17 00:00:00 2001
From: LecygneNoir <git@lecygnenoir.info>
Date: Thu, 11 May 2023 16:10:27 +0200
Subject: [PATCH 1/2] Nouvel article sur haproxy et ssh

---
 content/2019/rudder-outil-conformite.rst      |   6 +-
 content/2023/ssh_over_haproxy.rst             | 153 ++++++++++++++++++
 .../ssh-openssl-haproxy/ssh_over_ssl.png      | Bin 0 -> 30167 bytes
 .../images/ssh-openssl-haproxy/ssh_simple.png | Bin 0 -> 17391 bytes
 4 files changed, 156 insertions(+), 3 deletions(-)
 create mode 100644 content/2023/ssh_over_haproxy.rst
 create mode 100644 content/images/ssh-openssl-haproxy/ssh_over_ssl.png
 create mode 100644 content/images/ssh-openssl-haproxy/ssh_simple.png

diff --git a/content/2019/rudder-outil-conformite.rst b/content/2019/rudder-outil-conformite.rst
index c18bd6b..08ceecc 100644
--- a/content/2019/rudder-outil-conformite.rst
+++ b/content/2019/rudder-outil-conformite.rst
@@ -1,6 +1,6 @@
 Suivre vos serveurs avec rudder
 ###############################
-:subtitle: - conformité et maîtrise opérationnelle
+:subtitle: \- conformité et maîtrise opérationnelle
 :date: 2019-07-28 18:32
 :authors: Victor
 :slug: rudder-outil-conformite
@@ -8,7 +8,7 @@ Suivre vos serveurs avec rudder
 :tags: rudder, mco, conformité, ansible
 :keywords: rudder, mco, conformité, ansible
 :status: published
-:summary: - conformité et maîtrise opérationnelle
+:summary: conformité et maîtrise opérationnelle
 
 .. contents::
 
@@ -218,4 +218,4 @@ C'est un outil vraiment très pratique et qui laisse une grande part à l'imagin
 
 Avoir un pool de serveurs à gérer n'a jamais été aussi agréable !
 
-Si cet article vous a plu, ou si vous souhaitez que j'aborde plus en détails certains points de rudder, n'hésitez pas à laisser un commentaire !
\ No newline at end of file
+Si cet article vous a plu, ou si vous souhaitez que j'aborde plus en détails certains points de rudder, n'hésitez pas à laisser un commentaire !
diff --git a/content/2023/ssh_over_haproxy.rst b/content/2023/ssh_over_haproxy.rst
new file mode 100644
index 0000000..23bdaa6
--- /dev/null
+++ b/content/2023/ssh_over_haproxy.rst
@@ -0,0 +1,153 @@
+SSH over Openssl over Haproxy
+###############################
+:subtitle: \- contourner les blocages
+:date: 2023-06-20 10:22
+:authors: Victor
+:slug: ssh-openssl-haproxy
+:category: Réseaux
+:tags: ssh, astuces, openssl, haproxy
+:keywords: ssh, astuces, openssl, haproxy
+:status: published
+:summary: contourner les blocages
+
+.. contents::
+
+Contexte
+=======================
+
+Parfois, en entreprise ou dans les hôtels, des règles de sécurité sont mises en place pour empêcher les employés de sortir sur d'autres ports que l'http⋅s (ports 80 et 443)
+
+Selon l'intelligence du matériel utilisé, il sera capable de détecter si le flux est de l'http, du ssh, ou un autre protocole interdit et en conséquence, contourner ce genre de protection peut s'avérer complexe.
+
+Bien entendu, jamais je ne conseillerai de contourner les protections mises en place par votre entreprise 😇   
+Par contre, rien n'empêche de donner un coup de main à votre SI en pointant les failles du système qu'une personne mal intentionnée pourrait utiliser.
+
+Je vous invite à consulter votre charte informatique quand aux éventuelles conséquences, mais sachez que **si protection il y a, vous devez légalement en être informé par écrit**.
+
+Cela étant posé, je vais ici vous proposer d'utiliser Haproxy pour passer outre 2 types de protections :
+
+1. Un blocage des ports autres que 80/443 sans vérification du type de protocole
+2. Un blocage des ports autres que 80/443, avec vérification du type de protocole
+
+L'objectif sera de faire passer **un flux ssh** sur le port 443 (étape 1), puis de **l'encapsuler dans du SSL** (étape 2).
+
+Je partirai du principe que vous avez un serveur avec Haproxy installé et fonctionnel, par exemple pour servir vos sites habituels.
+
+**Disclaimer 1 :** Cette technique vous permettra d'utiliser toutes les fonctionnalités de SSH. J'écris cet article depuis le boulot en committant via un tunnel SSH sur openssl vers mon repo git. Toujours dans l'optique d'entretenir la forme de l'équipe sécurité bien sûr. 🤫 
+
+**Disclaimer 2 :** Retrouvez à la fin de l'article les configurations complètes si vous êtes pressés ^^
+
+PS: Dans le cas où le filtrage se ferait avec un système de `Deep Packet Inspection
+<https://fr.wikipedia.org/wiki/Deep_packet_inspection>`_ qui désencapsule les flux SSL pour les analyser, cela ne fonctionnera pas. Mais si vous avez une protection de ce genre, ça sous-entends que l'entreprise peut (et le fait) voir absolument tout ce que vous faites en https, que ça soit les mots de passe de votre banque ou les messages privés envoyés sur votre discord. Je vous invite à insulter votre DSI (Avec virulence) puis à changer de boite 😄 
+
+Étape 1 : SSH sur 443
+=====================
+
+La première étape va consister à assez simplement faire passer votre flux SSH sur le port 443. Si vous rencontrez un simple pare-feu qui bloque tous les ports sauf le 443, cela permettra de contourner le blocage sans problème.
+
+Côté serveur on pourrait simplement faire écouter sshd sur ce port, ou utiliser iptables pour NATer le port 443 vers le port 22 de votre serveur **mais** c'est moins fun, et puis si vous avez déjà des sites web votre port 443 est déjà utilisé.
+
+C'est là qu'Haproxy va intervenir car il est capable de détecter si le flux entrant est du SSH ou de l'http !  
+Cette étape est assez simple, on va demander à Haproxy de rediriger le flux http (plus précisément, ssl) vers votre frontend habituel, et le flux ssh **vers un serveur particulier**. On verra ensuite une technique pour dire à Haproxy quel serveur ssh on souhaite joindre 😄 
+
+.. figure:: {static}/images/ssh-openssl-haproxy/ssh_simple.png
+    :width: 500px
+    :alt: Description de l'objectif à atteindre : Un frontend Public 443 redistribue les flux vers un backend SSH et un backend SSL, ce dernier renvoyant ensuite vers le fronted HTTP SSL habituel
+
+    Première étape : séparer SSH et SSL
+
+Frontend TCP SSL/SSH
+--------------------
+
+Tout d'abord on va modifier votre frontend qui écoute sur le port 443. En toute logique, il devrait écouter sur l'adresse IP exposée vers l'extérieur, mais on va lui dire d'écouter plutôt sur l'adresse localhost, afin de créer ensuite un nouveau frontend qui s'occupera des accès entrants.  
+
+Modifiez donc votre frontend existant :
+
+.. code-block:: bash
+
+    frontend ft_tcpssl
+        # Local frontend
+        bind 127.0.0.1:1443 ssl crt /etc/your/certs accept-proxy
+
+Modifiez bien sûr le chemin ``/etc/your/certs`` par votre répertoire habituel pour stocker vos certificats.
+
+L'option `accept-proxy
+<http://docs.haproxy.org/2.4/configuration.html#5.1-accept-proxy>`_ indique de n'accepter que les connexions de type PROXY, ce qui sera le cas via notre chaine de frontend/backend Haproxy et assure de garder un maximum d'information sur la connexion d'origine.
+
+Ensuite, on va configurer un nouveau frontend qui se chargera de recevoir le flux sur 443 et de filtrer le flux chiffré en SSL (typiquement de l'https) de celui chiffré via SSH
+
+Pour cela :
+
+.. code-block:: bash
+
+    frontend 443-in
+        bind YOUR_IP:443
+        mode tcp # On est bien sûr en TCP ici et pas encore en http
+
+        # On verifie les types de trafics parmi tcp over ssl, http et SSH
+        tcp-request inspect-delay 5s # Une connexion ssh peut être longuette à s'étblir, on prends le temps d'inspecter le flux
+        acl trafic_ssl       req.ssl_ver    gt 0
+        acl trafic_ssh_raw req.payload(0,7) -m str SSH-2.0
+
+Ici on définit **deux ACLs** : 
+ - L'acl ``trafic_ssl`` se base simplement sur le fait que le flux est chiffré avec ssl
+ - l'acl ``trafic_ssh_raw`` quand à elle, vérifie les 7 premiers bits de payload de la connexion TCP, qui contiennent ``SSH-2.0`` dans le cas d'une transaction SSH !
+
+ Sur la base de ces ACL, on peut facilement rediriger vers les backends qui vont bien
+
+.. code-block:: bash
+
+    # Si SSL on envoie au backend TCP pour dechiffrement
+    use_backend bk_tcpssl if trafic_ssl
+    # Si ssh direct on envoie au backend ssh
+    use_backend bk_ssh if trafic_ssh_raw
+
+Backends SSL et SSH
+-------------------
+
+On va pouvoir établir les backends :
+
+.. code-block:: bash
+
+    backend bk_tcpssl
+        mode tcp
+        timeout server 2h
+        server ft_tcpssl 127.0.0.1:1443 send-proxy
+
+    backend bk_ssh
+        mode tcp
+        timeout server 2h
+
+        server ssh SSH_IP_SERVER:22
+
+On retrouve ici le frontend ``ft_tcpssl``, votre frontend habituel qui gère l'https, avec le mot clef ``send-proxy`` pour transmettre le flux sur localhost en mode PROXY.
+
+Le bk_ssh quand à lui reste très simple, vous indiquez l'adresse IP du serveur sur lequel vous souhaitez vous connecter en ssh comme cible du backend.
+(Rappel, on verra ensuite comment se connecter à plusieurs serveurs ssh sans devoir en indiquer un en dur 😜 )
+
+Cette première configuration est assez simple, et vous permettra simplement en lançant une connexion SSH sur le port 443 de vous retrouver sur votre serveur habituel.
+
+Les connexions pourront se faire par clef ou par mot de passe, de la manière dont vous fonctionnez en général !
+
+.. code-block:: bash
+
+    ssh -p 443 YOUR_IP
+
+
+Étape 2 : SSH sur SSL
+=====================
+
+Dans cette 2eme étape, on va ajouter une brique qui permettra d'injecter un flux SSH dans une connexion chiffrée avec SSL.
+
+Bien que techniquement plus complexe à utiliser et à configurer, on ajoute ici 2 gros avantages.
+
+1. Le fait qu'un pare-feu intelligent capable de faire la différence entre https et ssh sera par contre incapable de bloquer ce nouveau flux, qu'il ne pourra que considérer comme de l'https
+2. La possibilité d'utiliser l'en-tête SNI des connexions SSL pour choisir dynamiquement la cible de notre connexion SSH
+
+On garde la configuration précédente, mais on va ajouter une nouvelle vérification de flux **une fois le SSL déchiffré**, pour voir si on à affaire à de l'http ou du SSH !
+
+.. figure:: {static}/images/ssh-openssl-haproxy/ssh_over_ssl.png
+    :width: 700px
+    :alt: Description de l'objectif à atteindre : Un frontend Public 443 redistribue les flux vers un backend SSH et un backend SSL, ce dernier renvoyant ensuite vers un nouveau frontend SSL. Ce nouveau frontend va se charger de déchiffrer le flux SSL, puis de rediriger le flux final vers le frontend HTTP habituel ou vers le serveur SSH demandé.
+
+    Deuxième étape : Séparer SSH et HTTP depuis le flux SSL
diff --git a/content/images/ssh-openssl-haproxy/ssh_over_ssl.png b/content/images/ssh-openssl-haproxy/ssh_over_ssl.png
new file mode 100644
index 0000000000000000000000000000000000000000..be9340b4f7a71646339abece0c99d9f06a6720f8
GIT binary patch
literal 30167
zcmeFZ2UHZ>x-MEY4K%sQ85$6f93@MXBuOO*Dxt|JS)xd81SE+dpk!1~K?PAjNlg$W
zD=I-ik_ZwcN)C56;9l;x_c{B#`|cZKpF7SN3|Dt`)vQ@_{^9$-@2?ee#z2dlgqZ|_
zAaWh;Q|BNEAAE$S5QO00$H&F_A&51>Tf@xT)!)I{#UA33R6qR0BO&JGe$|^t@)VDR
z1lq$x#LgM*=!JH@D&l7E4Gw|dUES@R9h~j$4$qMglaLe^lNOecHWriNkyI6v0RKpe
zi%3hIxNvwr+R@(aXh41UYtAk%XdVg86Cz?@sN-hh;yjXS;FF%Sn~y*EufMFcm9*61
zF)v>*l(?9jh!{WkMa$myiaWScLQGr?{E34@n$BMK4({MGO>yyq0ddo__eMJ&PR-<s
zhnBawxSjSDD{&8Fdvj-hH|fJE`PzG3b#`|<dIE8gql+aqc*In}5V$`{^`j>TU)<2H
z_J`-50S_Y#ZjHN<^U(@O`5WrX7<oAwotM1gq+#fTR(BM}o$=>rzsGd-*YZMpIO)6F
z*}H%t?EDXh6_=8fIvmt4;P8kn?iRSaIC}lQ&(Uph2aKGr9Zg6aO!nY3A7?xJt4E_9
z9`bf~cky=i`1^yl?rv`Owny7>G$Pu|%iZtqPjhg0IeNOIb3DL<|J~@g14g!Jmw!BZ
z-r3IE>GxB}9L@!Iwzj>qqtov@i%ZKL{^E-Mee%(hTy;X*x%(Yne{kp@*YWpidbzuU
z@&4Gf!yo?q7iZV%_Aa=^{=JSz_W@S(|Nh#)t%ld%Z2JGpa4uc}KH_p0)ZFB>jQuqo
zr2-7jy9&!5F3eT$fZvO2ZwJ=;=&QSzx0Ac0yBpd?<FBJ?UhY0_b_XsAELZKXbM)NZ
zJ-|}pob0l_w|Bsi;h=rI-N7LzZ&#P2U+w*!z0LmkYz{t)iJSl@;eI)Vvs2v22VZa|
zdho@~+baNf(cixOaTV^jzb-rY_WQcS=fgb|xE6f*CyRP?=&HMqm+jG6|8%V+56ALG
zdpUyebTHaKJ@3Hp|8q<EZB)QT?cH7N!SsR6c-gz4y`6pkexm3jUvd1~c{mUJuh<hf
z=g1uY^SS&JtNo{sb>u_;V=5A2|Hn+_AQ1oO+w<SiRE|8w7wzJ6WX(Jh(k{Sf)a;yn
z!AD2jM@=txH*b44J7CTpJ~l4Sw%~)56u9*8Oklo$ocxbr%Ebkw8!)<>pOdq<y^#m{
zz<2#X#skOx2sVdTf+Xy1|2qL59`Zo{6;}^J!2iZR9E~V_6qj*92MjJQb@biuuk0j_
z+ee)1I{lHEWRH&h`#AX#GWcWX)X=t94tL4ONc->+{s;kop9}sCwn9Sk@ApFDH)#1+
zd+~b@|9$pC{Ae@&SnmHx&cFiyX?8ksXqx{rIfEJixZ(eXtN)v4XYr#2_-|w^!eSy~
zl9C`=19<Bda0ut5#X((nc;G((bO$G&vG;NYu*u%*2oN4_{{In__g^+75X}E?G^C^F
z|04tZk*JM~^bVK$Pc!>>%EXd#e;@uq`F=Rze--}!{ZjGo#P#P=|5b&Z`m65xpW4h-
z_=s!ym*M}wy8rKs{=ccFzX122u<ajx_TL`1iT}3#f91FThOq5uGycbK{|klkAsmws
z`<IR@eo#~X|LM8^m9hUS#?QDr1ELvl$cH7L%<nvNR094#)5+oU9bNQaV{m@o>ww4k
z8%^||&r(wT|1|6KdxQSK1Am1UZDZpz|9}Vn?PAM`6Mv5het-RM7+MZ6r-ax)-He0s
zT<o7Aw14{@5&v(zCI85E{ehSNse=H8;NOS3k^w^60WWnFxc;4}tAl9vALuSek?s$L
z>(9t|@au0)?eK@A3vdeLVfp`hD1HZmP>{|kRbzk4`7Gkfc$2}F1wEbzw5=(eoJJ{U
z3J9-TFsap$KdAq7>0C;M+D*bvd<kQz8mbS+)Nh>Qv=@?UODD8%n_H<HS&$p?&Ahti
z(YrF|_;jl7*%hn8xthMksy@r^U8`BkD{P*l*3`VzD7?S^N;0usSqk=(ZFgQcbTXUQ
z1=kc`tT5OgH+i5<W&Xzd@y<%Oa(H(@2#b^x%If-3B&*M-v*${z>*MNPUFl1$+uyr*
zI!#3Q;psbV{&xh=8$2<7%%#O1@Zi<Ugj}ek*SA=f_!e~ZcPbTolTOg?L%zlfmw^{?
z46J(;Z1RsLC<;&Z2DF4sb?59O`8W)eEs^ljd}!RdJNu*n%0>f@IR&n;-`Q9?SMFl|
z`0V`~#?LJ+_In>2X+?&S$H1_Jf~5(^RA5JcNKcr@nqzmi@YU}fAI^U)(EpqlwK88L
zVDf~P@!>+<zGY;~@?`t3g=ZF3-#!{D-{IB2H%<DhQ9zB6hCqe!X@h*y@9ExBX(FB*
zsk7qMOGmla?UoCfzc@ugdpy_R)s%IPM+0#l_v)Z~ojrm!`cBaHn$FV;uO5K^zLB6x
zJ%xv)*DYcHYf>sO3Ew$0pB+BK?94IQ3b)}4By<9HY+0^@<<1I<oFAWADA2*!6nyor
zTs#i-+{}qg{@WxVVxdcwXKqk(JnQm`r5FCRRJSo6n}sjwIeyCGL%M|hO_H$L=XI9r
z6!5I$P&jYbvUVu^Z+|J+cS+ozms;{tPF`ER<u?3A<3>lUXzlUF8|2B?H<uqHD}TP3
zg<Vk~P_cewj{Iw<Zb1mey^RS8yLU+E&rj~i?>S}%IM~$-nU$zSVz(FSM1!_gld?|+
zZgqvjuzpQKf80_Vf{(7QFN|0@Rxed}j5WYlLg3{t1NnL-0zJ>Ilz)6KN^^HP4qaDo
zkJI_%G8OBNba9ExpN`AT7MFc$edVd{ekOJ3jZYC7qnJvGXufWmNY7&<z6lK@h*7JJ
z?C4S~YZ!NeY{Mmo4*nE4a{uS$3$HHU@t*%;B4GRo6&+Bqxi*yRifMoM#&1F7O5d~3
zCV0tytY;v&tA481k-_L7Lm`g=RXtc_GKbGV?fTci=W#4D23dX0@hl3?btvW&S9*o$
z&dSQu3gYup6ND1q?1(s8;OktYFCwOCB#K`6e5h64T}@`6448<QA$*bdSs-F6|AnFA
z5+*xc%JqvB|M_Q^M7*f;pm%gi!FP`?-{Bd}kC+w}uk!NitVOH@Y>Y+O&wP69)y7}g
zZ%;;gIri3*@0}U#yXzy*xAD*E(?XALPpltpEee7?lZ(bfl|4bE&BabACW+~GeiOyR
z!0C>kQL*$Ni%cQOhqQ@V>P{U!W<AoQRh8^Uy2Zmvn-Q=|t?HB~k3GFuQQi*G_xbib
z(7Bf1(`OZu<t=y|x~<tPdgQb!9`H+^$OvwS^E%~&ep6jp=iYcb*K2;hcjC$yf|0N<
zA{Sn2UnqCspY476ktLD_Ofu&7_|)%7lEYp6kRL-ko^ZLAi)QXmBq$hUb=$nXY5sQj
zVVm2RmpU5#<*tL&N)C5m*oW-c^23|TYGECSKFHZ_yhmM}uL@XkaQ^ftNyw^ph)AGA
zf)4iiiAnP2%9L&rm&SN-77QiA75v+ddbF^nMB+hBa{>dV+uvK0wbteb`Klj@DDJv~
zU~;W-`R8!egz3%y=o-!KR3Y<o^rDtReA)i_7A4$gE@EsyKew`Sr|jZC3!Tc9EQvYv
z={4$-52`QId>2ntbk?4?40yOYKY0G~r$<zZLaFIUJQp%{3A^a(t(l^M;A|L*GiB$u
zZ#{?#b)~Smc6{LC6aBUMkA;b>Av;SwRetV)VOkHqM-Y<Vo*%53{ZMSqLlPS84VO+n
zuobKUOj<75m)gMnscY#%9FwHo;%L1D@WEA>?GIuar{3bbI5)W`?Ru@>?>I!={EqVW
zVE|ECgu8(K<D1Zok?vo|hT$_W?1OOO_3^pJFhxdq`yD|(7HJm{so%L33mp0XqecRv
zxK@3bbbkf#nVu4~`j4K6u^E~kl_rf*lzkcDQRFPX+JdiPqa_~(qz*I5HgW$b>WiUV
zkT9Yu=zOsm=lqvf$slM-2i-FBdWJB5cFA06XHi{lGQ~(@8RrJ){%`}NFVTmQ-m09y
z{`tWtCW5cWZm@jIj}`G6VN59Z0H(Rzqbu5~uu!dzH~J`kK<My}EeOo8syCV6XeV)5
zkn-j?8YW4HxHv{}E)Nl*_d<9W_kg@h@9qjh4x17(N7+v7G^&Fl|HBPUsWP#_^_zmv
zZUO6Sn@qD}KRa9b(PfBu@q-peYk#TjtFyGw&;C?l&VxMZaZ4qg?G%wG(boqhU)FO%
z_C84N`_1)J$<okIQ-;9^NT!D&V338-B9Zu2o}<(%32&G|-E(HUN?a5KE(sXk*dDst
z{XshcS-H10`_LduzURIcB?+YE(&lhv_NP(B6#4fn@!d_$<_AHnd%e=7FuD5CkTR2)
zbTtZ_W)=K6{3n=g!GCb0`$2y5UwAZP>F;DI`1PnHP`yhN&B4|V;g6=H2Uri+paPNZ
ziws<w<2O{^efh03<Gd)N!dk!WBv|1)jyXZ5qpZg=_V%{j`K@ZJUA|V!4Ls*v4ZsLl
z<J<n4`AoTaeWE#@fRh|#s*a6yknU&VPK@_aO~qlPe-2iN-gmttVA8XoxQNByQu>NN
zp%}0{y<fN7Cio@wqT6c?CQdpbvomMD;u6q9-86$oUt@yby$qremMQEG+F5E@ey>j1
z3XEINj_++O!}$WIqBN9P@cynJ_vXme?vq}Vcg~;gymuo0Ta>Njhba)A{j`He!<5#C
z{YKc97y5<bgDV2pf3j|W{(Rml%QdGdi1e=99eyLt_vOItS)3UpoWHz$OvWmE3x;Jp
z>+m};Dj~(@QECwC<mR{JEkE#-=bl@hWRh~a#ZHs%LQ(`RehFI}gFQGIxMnx-^2+lX
z(~<r4y8WyrrSXwMy}MiswcF431}T+yP{VJ0lBs!4zsqp1y(^T@s_g!ymREqt6ONX$
z#zHg$k8Kr#w!9x(RQZ-~qD{BnaVP3MuExdpn)R<mT~A|Do<P$d3k@}w%zqX62T^Cf
zU+9vZAj^6fvOQlh`K0LCZLnl*&V^YH`OaUuN$CVm;aOvNB@ZnW6-G;}mm#e`inUAA
zQ;5Dx0JY5zy)MhVzT7G=xd8y&EN?vlDgAWuroPPZvE8j-A7_LutIb9(f^3=T(`$ZB
zX-B+;HMta4;xlXN45A5k^Y!NU4EwdY0k1*Viq_|Kdjk6Rq>}Q~qfVFFyoFP&-R9B#
z2I7b*UQezn{;o`ie^;iQk>d!Mtjz0gw{@iw_jjh0b)G{_SIeu{X{ewLp{~X#?FPN4
zt#)5(V?GI6<}|*wvJTnXoZ`D}G1P6x2ffd6tK0RJo65ZUX-Ok)Yh!8Rv(7G<`m1g-
z4y8*5vSV<Ihfhq3QZ1b#-#-8*WOn|kbuvJjr`|FpRAN@*loE8GpH3Cx_Z#wzlK;@2
zCfZjU8%!a7uGB_j_vh=W?4r%#YqL)!0Bn-`@gVtI1F2{VN63!&4>~9rhK-o{{PEM-
zVp$T}hEz@!&njW%-*|G5O654*VS8(RLDX*~XdO*(*B2>C8k!TlrNbtMQ5Y3vwZU|w
z^blPEVE;ceg--;}JT7dbF;vW>=&|q{ez?GG4C7SEkaq1EwCPq{(eo(=xQa5%JgV#i
z2&}FwYTmqt*~MK-nEIW~6(5H(fFNfoffeeql_ha&ody?5Wy139242`Z(?L#rrdl^?
z`MGF#^~Am~=?%&xwY{CainJ>U0eec*D)Q6OiyE4~icCks>UNf6pJ~?XyuFNv83keP
z+p9iHBfJu)4_uo7(cACu?FtYsE+F|!1tD<DJMOicnqU1V$jvL<vTh<|*CI(7QkhR&
zerIHO@?qCr1f|k(qe26^OTITo*fD$#dz^|Tw;{sT8_-=^$gDIx`t{t4_HRYcYbDB=
zw#&MeK8}bGs0_KaQy!s+&=5HCYJ&M%P2l?FIH}A$GfwL-s&T{kp{AUlCPMb6LO$uJ
zAqdA`j0vg2ty9@0w>&<{xD7ojdrZn8V$A4~;?Q~TA%)p%ugOp7eGm{$gmSy?YbEx2
zFv*&0do(Y;uG`zvb^JJ1UC*R?Z7h;u^_@;iq`AenSU4I}Ha*puk@gV6uGjPjU1wj~
zdnB_4`SX89qGV%aW!Q)*_*hN)pMY{iQz626oA=yn{~!vr1%SEI+CXkRu+3LQkPo(&
zq62%syFMXNd9QK}AE9zA`t&MO|BBWAR$4F7I5qJ;<y5756h#yQy3W4)bFQqrw;SEd
z(LmlnZ$sZeyUW6bH=^ZFzDAKdlDE%^-p6m!G=+_ZlZwc?JSPiQk07F?r-50wrwX^h
zCh)eDOw~~sJ)UTfOFuR7tZyD)`OD3*s>{-+8i?01kVDfLrlIu29f{{q?xh`;%ya<X
zEYw4gwGl{GSxt|bF(+<CeDT)1j@VKnh$W_!_$u(xnGRg>G121r4b>oKLj%WK4xKpR
z(k~W7ie^ure1758lhg<?O3`|zNLd|Unv(ThV*-^qcF1V1tc{Ni2K{>XxVzq=fBL2g
z2MvEA9kj}VnL?o*n7g*XishUYlD2+sQDrJK(lD^DhAvs6N1rZ*L1nv$i|WcZ>24qx
z8rB!hMKPoaVzr6E(OY>VoQeqII{ekw-p`=)(QFfTq>9NC<2-1QRBYuikw)`|fh=g)
zNbHp{y3yELulG0y%%Ukyf%RC&a-$r!m0PwH-o<awxj7m^X$P{yn-9w%IJ_^YPYS)C
z&{-Ni+;S6Y5D`-+b!0EAL|9;3<+Rg3G@XVyI8ebb-PVTCZ9YhhCGM_SB8Mp{azEb8
zGmSvSZTsfqg}@++{MJ((YcqF}A#4!7M?+Ex3?gC+)U8%BePYaSfroWD$?ChK(RLa_
zc@vEj>{5)VH{7KCLXdZJ!8Q_)-xNY+B6hn5PsMFhVzC-{q2&{P&2*4a9rJhfBT!C6
z{6OM<Mu0Ruii!k72NfeW_@U8C?w5|BK4T6fkJ^4(@s%3E)Una%tacoUfo!(M`nl(b
z(5GeDh*(5xY*o%0&f%$45;Tx4jzkw}P7~N{0*EdsYa^k67g{+7YRqX34N#Z%l-%6@
zS!Kv}DvcmiXPbA6yW?>;n%m`!AOyC@o@<T0#g)sF18s)9*AGuP3CR&dvh%_h%Trj~
ztIzt*_2-Ryf%tOmx*&#s%f}Z66`AzAB%}voMn@H<t3*hkXV9@N(y_mxeqvZFNoc>n
zOZQR>S#{d&PEkt}s-F=91`C<jza_?}rFXUvUXon}v7k3L7uiP{g^+xbUZW+X#46PB
zWc+&Yb)qrl(sjuC1YQ?&rW}TnQ#6`X))+~ND0^oB<yv~|DYj5@!6Zx5nF^q2$APAi
z#J;JWe*9aX#dFODVnC3@YvMb_@sr#MR1ME4RExhIgV+P-#D_B}qS(qd5$K3?4Gyh+
z^$@l6v*1|-$u=mYizlQw=U7x^Gh$((fe`h6)?)He?S4xv%#O`>q1hz!6!q-JHV;JY
zhEQfigxPJ!#+(MRx4;lj;;iF$^bH7nXiR#26!5T|@Y_DqCH&<8jSZaBlUBahC<6OY
z;$E#3Wy0=~e!_<`)Pml#s@#kzV4-Hck_hW6S>|(iOH~@N`S*9bM4i}$L>*!1m!fM|
zMp>^7HDbTf;|(Q;CZ|>s_X}6OIB|HkGq3fRJjpDpdrKu7dhiA(t4s(^6-qv+=SGD+
z`?zu{6o&n$C;OAau>ckMq%ty;ioe!Cxqq#G^9JDSREq)T1Ed%x1?Ewb(IwjHZ&pnJ
zgG}ZCps++neaucDLWQ<>dGyd5gylmXjRh_Q2X%vrHh`A>`cn+ldd1EAREVM=&-;=I
zT}??(_1uuyr2@xH&l}zgU$bCX^5hqEhqFh6Jb;_MnQSThJ`d7#`{&SWqXdPYvNe%u
zt>myu2E4V7G*J$MP!?W$!Na1mK@Iy--BG@-#KY!fgD`ZaDuGR*O@qPW7^uQ{I_>4c
z#BH0Wc>)ppXU75-w|?NKR>XYfJH+H+?*Y`qJ(5(eS<=3|4UxMIMUkMi-_J`-C$GJX
zV?J@S_eCc5MBgQDnIVsePtUD#U|6q<FSZWn%6aT?u81U!H>c4R?jSQixLD!V^TuaZ
zd$9F;vtg#}+2#Z`L6Do@IT4<RT*{Bn8XWjJQXW>oCjW6WlESP>kk)tm*@ai9v-Sac
z)*L#wCS7;#;b{p#5j-|4<st~Jaj@$=<Te`g4j)vkEY@b&r9{*q{_*+e+0Wo&0~*%T
z@AF=G|2S9w*q}5<5b_;JdUY5r5psARDYAa-s3nMceJ*=j3t)5_Ig9i(v4oy4602h{
z*`Agb&mzNaiY9>+T;5$cEE3HQmsD9-Otau#dB0z8vAG0*tas(EI@r0`2CB2jxCwy-
zm8u!fd=~0=)9cMSC`wU7a6JX@f)!Gkn(5D7yxXAGK92(@>qA!!SIO+nV~HqOkAqSp
ziHO}F)qd|P0aha7#hb&$96K`G${!lfeai<b0J!k#v+&aaRpWg}A>9i*pv-9lKqABQ
zdx+`h0;r@Zy_gqgW)IXL@m$#&TM+4A1n*wM!IizYq>=&stT!?^m*f`QK?(g0B!FA@
z6XZ{m&<mw6F;MROM<k`4fQk1{g@e73BN|#J9B>+uuy1=;9kAjpWKF^l_POZ1E+7ym
zr*cBNN^NMNu@@{?4nj9SjajKpq!8dfQiU(3E`>La<f#++42`{Pkzd$wzeLV4`>pXu
z3u!pYlvah+T8?S+?M(zCCSN1A4Zzxm0BoGQuSx#cvgXa+Q=`HJl88q<2iunKkXTaD
zXSz)fIGl3#k!Q9DBUyxXrV>Dm_ALo)o`Qf^WS}~Prent-#}I(eB^<k0gV4Q1l(w=X
zUrDEwiSE?y?*-Da;{b47mGAs*Q0N)olXA`%{Ul0)#y@yig3lag1~zb)R|~yQFA@|*
zZq!IdMyR~H{Ml}-A<}F0gI3E^B!SAMQ#%J70ww~xx4Zp|x20kv_#z-kxYENSjOOL~
z`7%A!WCfUwVn>3vh1GLaisuF^3@?9v!UGtLzB|MW$<9$--oYXg6|eQB2N}5P02la1
zz%2h1aYm=L&u}SqES*I^es|<4Y62Cmlno|a)Y0a~TOe6)P3Ciy?W(+6b|z2Fx!B~g
zhWlW-{(B0;cQ3E>8APgpl`v`-!;DBAgh|XhE(@N)`6|B!OCKdrkmaL8^y;axH%0*F
zeS*;CJqsOEkIlikM_4Grn#pftacoAY!s&w=+deQ8+1#E8L5K0Cm^b-&Q+R5lTeHtA
zzQ!B|VA<Ih4^ANfTLwJ5Eogn15BW>49*O;0geyAeh0JbwhtWbh+!GAAz=TzXacd<Q
zx9kIo1y|Vr=zW?I5*aBp#b9;)><x030-1O<#3jFBAI>7Q&1dn0sh65A8mUrwwARXe
z^}l~34+J2A<JXgfr|w;O_91!5W5`h;28N=$yhDLAd`8~IjfuqeTb$|-Oo~irHgW>K
z-@Tz*!l%&Tpo*y8-`nmfH01a(P*!;Ij<T82fjJe2GljLiaTxh<UrQI@eH^!V4s0^Q
zOst<bc%@UOr#j#&uF$;{^y@P}g8|+x3Hjh8oNId-LI%q0sp(72RxXchw?xAL7C25*
zd~<cS&+yu>8G8ce!|_8I^G?5UvKmqdf3HzIKGq|~D+y;0T0L7cbmhxS=WE4R-N4?u
zO)pj9oc<QqL1>oPG<VE;Xz(na<(iSpwH~WR&j@@%viB47Z@hnSRmMnlv>t@_gQ$0@
zT(nu5)dr#p0R^1qhic6)ilBu4@#R%fLP)<On(Hi-p8HPmI$tQ>?N(P<bU>mSj{c?i
zMkip5Y^q*a8)|x*pzC(T{hCB^y;Go|e*RFIQ>8VfyZeh4c5-Q<g(KvX_`-u^gC6n3
zWVV=fL%m?@j%@&DeL55XAwaY5m1%emVpMO9+c`G6Ocs+f<kG4jum)=OK>MLePx)J*
zPU)v#!92?@bLc!51=EVMu}8V^3+&3d44LP6(D?8E>a%Z(rt;eQQ8@dA&kgC=b`J}x
zejk^{$eWC_B6T}n6OWEVaoqMdf{~;6pDCY=wSM&3-UC$*Gi5A|gv;Q2=4?wZfBkI#
zapIHW#7iYWs3Fxiu~_KN!|S|hrZf7uF#8-{sFBO!dcSSrs~2p+##`OW`^LP_Yqy^K
z416<RKDcvSbL9cFNG>cXtrJRVoGjItme#)Z_V#)srE)Q!O(r0m$0FPV;*sYfX~cil
z?FYvvlB;{YR*ni2ogF0%E6fSLfCEswyW`)=2+5f%Ka|j3SlXP*nQe89{#6Hn<s_hY
zbU4$#)vDp$VigUR*N1PY=+kV3-t_rg>;H%ooqDg;3TDPDdL}otda;3Yk3L1^=d-mb
z_`R;gTPi(p%iv9WHty0EB3oXAQ?U)Tb-UZ^MIRFx3_{ea6#RZ>O4S+Hso>obkP8+)
z1G}C}cvE4q;nGWYfNQ_yMX}!oF^s57@(F>#Jt>{EZcqx&zU1;KRW77EPMQc011Ycw
znJ$J7&-D8maBW-8jmS@j3>T>eqXxSjyE6IHE_ubs?*WpZY^a$Q3gdPRdki+>1l{Ge
z>n%J7fCQ&+^*_3opgPQ6v~BbeKsp^zsM&*h|Jr>I`P;g?a%?+hyu{T@%`8j_UW4VX
zCJ1YZx6Sd5A-liQ^s*Jr2UorZF4!Y7+C{2_p57>cv;~9dvybB`ouT2epPIT<`X@C$
z;7mqzxyJb;FC7|;q}wiD^la6U=nX7m6bb`Rpyk-X`7;R+y*NJR!}-?RJnDT7AjQAS
zl)JimB5=*6HAlJ5T7yxL87Ya@p@q<;@Yy78aI4{;D3N}KmhuyqKWV3mTKz096}oJJ
z3;BCHo97;AC#hVSR|}z_WhCVegA<RM>B)Z1j);$MH2YC>_P%Cw(djz^#NSi56Q7!u
zswK`eRVLPf%>F^Vh2}U?5TwcOAXTMrDtM###tzQe5XU1BoA|XD<}&yU*;TI>>MlJ&
z&u~BfL_leKN&Y3^=!|Q#m;EkHck|0+TOA97h_CPOuD_9hrUnCd7aJ*=FDAav0I2B4
zWz^odNr4_yR+6Y$$tYUXMXhV6fiXOmsPsuy@a|R|LxRZLED->tOvmu}I6`JWJ*N3W
zN+OvN2}5BM+VaowVTmr!%(-k7%&)zbkdiLR@*j_p9!)T2TN-_4RadLj6mhzIeJWSB
zl$Clh0{gWl@V5%;({G#QS4=2k{^FaM7Kd#UKm-&t1US7DL_$_BF4VEMRAE67hwp%2
zwmx7~mLEU}xFl(-Fj(oUx?)2k6$5{h1sp@t8+0H^jQS0-5A8nT+S2P&sErabkdRhs
zav|+Ha<d3HVlnI<bSzfcrYLB8^#?bIO4X}BhX-x8K0MmWRgJI%;Od%G(MW6W-kc1>
zcSG1QBs&b?ky3&yxA6})mtFdcUvnIjg#V&-&FiFA3K#%L$$0pL)BIe)ye!*gIg05r
z#J5y75N9AvH*fJ-df=iyRTujmM(~L!oT~Q$!`G%?NAIKWGA(%iS>|ZEl5(=^?tmeE
zM+RIQl?gu%H8?Z$3eX(fj2a-eKa_#N8=fUTmCm#>1e7e&9TmL;y*WYn^*D7;O*a&V
zdRc&eYeT#kHsc#o(poFK{u)rA%kvc@Z(M1kE=Jwo{;dmKcYdh9JHP;Sq<}lFf;+0Y
zbD1I!=E>1-H)8tqLMyq<5Q@RVJ84kUv(hJ-SO0dJ<ux6T#z!2j1$%Q^+jseJk4Ow2
zaYVD2lOS{@2umOJBiT?X2^0nIqN%tuD`IBJPi>?!wAsITTE6P|ao!;q<fb(w5I|Z?
zlb-Q&JaWqzq2IRjd`s6;?t1a{&T{*(v^M-glmed8)-*Shf^YFs@0XsOc$rKl0G`d%
zL4Cz+q*0ZBJ@<`k2+Lfo;JD}aeNd7NNo!&*oX=Ikt6@Qf?Coe?bX5<L{$lN*2|H%Z
zhDQR;>d|+Stc1;!54)Bu0G9JPOGr-OPd{z<ncuwtauxAZdA$}OhMX%jVEggme$)rk
z!S^}w(&=}BLT#o6?ku0IQPzOFvmeXcpMrtkAS2b~;lJqx(qAsKY?XZ=l#~P*YZh35
znd1v5({xJXig|Y5?Vn#>>E5Il766gfdk{(GVo`g26Ta4&A@jVnH>yUN<;rnME<Eaz
zREQw-RY9!j+uh*YaWgEAfE^_pP3^<sY(NwqyRR94yXT>9A)F<TAl<we?D6T5?jO33
zM5V<OSY&>dB<h1eNJz$rQr_FRp8{C<#3ELJJ-z{vPI((ReLE1UCqd#$0SMB0Lmki<
zziO&}zR_L#IV@<XwE193ekvtzWUbTH7QkWKfa$y_J7DjxI|bSoxT~i@0+Q<>#)$}%
zy%*g(eeSwfFWtat_wv4T>9f_h>PJHMpE^$OuMN6KO;%jr^s?YLFR>0|z1ksut}Zwz
z%f4lg_(A4ZEyZAffG2@7oU5lhb@@;(I0MkLO>t$(x}z<*y(Tc1UTR!tgZGCgl_QkK
zvY$Y<>SIw$0vb0LK)z{!8Gmv=>-6a;2+Lyv*zAN}9O0S<q}J1bdi(Y*+0e9*J^cHC
zW6o#E_f%~!ye3c6DIp0qbn$MzddT5FiZ@W<o<kz2Oby4b{`hDQu<3vUC7O_GiukqN
z4Bk@s!uo8V=-ub`+XHiO=#=K$n{*~GF9puO!r^utJbY=fGS%I;<8_UL<!J;xw7<7r
z_YeT-o(gv>ZkJmzBNKN@Z%S~3=<^OdMs)Fy#?On+9}9F=zIT>AO&Ov5)B%I&aP_c!
zo9s4Q9*4(ev8sgqT0m8<ZeYU+NN4n}t^XXh|K4#I*NqVXU=2apO~4{8*qQ=JIg;Wt
z3mP+OJ;u~5*ccW4OFk8yH+0k#XQ6at>q4>ebPNG2f6X-6m?VEh!hd4g>kx#V*R0)B
z{PoF5etYI2j*89>_|C*6?UJ4vI9J-zW}A32b!qRSdkqgLx^Dx0MeYR*Ww{R&1YGjI
zDWH7L05)1Vkzh3D3*`5<@wc%)y==R1->2su-Xvp_H{QPByGt}CeBLVPmFaeN;Ljw`
zwqc=xf^!C+cVd8}0CooI7l4k=by~_%$D16f*du}?>4=MOqgRAjx54zL2RF!7P_+E#
zPPJo>R|2m4W%eUogN2E8+LsXaY%Wd%`p`KXoOnKXRrR|Lh|a<wI)8ZK=X5c4GFX-<
zJrakKD2oaYm$yrv^*+7u1?`2eH9*p`JWGT~;L7AgKpm+QivF48l!dGYw3*Hb0@+U<
zGgL5mVGt<DuYKQ0(qiWa5?y&VPvS!3Qs_jD%YcM=mG9F}kIt&MtFlunZRF}@$(s-$
zDpjm=vyrSwMsj8;Sv?4q2$<|EHP2puXLjx{$s2v7E*j6FZ0UhV-Jn03lBZbm>zwg<
zX#AIQ$&C_q*;o$#Y{=<jLA?AUk6TpbkxBu>K7GXS5deurf&P(IeBqVA;2upCEL4d=
zRT2OW^0NBQ=IKP7>_QR>uu&_hmY*dkG(l}DIa<nE2xCCoKLE`5GEn90nPA3c4*FqE
zuK_Gw^}8*X!dJNdkqWj7yy1ttCt!b?^=8-o?Thm}qCpaP0g?dMl`W4GtQ2cNxO#vl
z@%QI4<}^iY?5e~M<BxV;NEI+S-AF$=#GOJ&L6vzIAdxFVzf8_sJnWKcV8uy?@qU`u
z00j5>PMas|Ujx9W{6(wU>jAs51783U@<cKUV}7Zl*!0mE)tTO>f<TLp>I%2H!C<fj
zVi|z}je||bi7N#oVd_L$!bK;cM;yx$X69uM@z?-BA-8FT-^Y)l@tp5p2pv2lE*U3r
zUjVFQ9nefnzJ}}v(VY)|P`m~iKQY!p_7FHSk5h79G&`Y|v$40mAo;}ei*w-*61*)d
z-(5aa$huAo^fgGTS(Ye6y99jWDo}3xw5ay}R$tvqMTA+?qI&eTAViQNm;``@A8T)Z
zmcV?<0@B?*j<rvy$<<(aIMgtT3dMdgUJk65Ffqh&%t#BI8NLddzF=AH@9Fa(NzCXc
zahPSzwI4##nI?7TzSBV%Wt1HungXX5^^&3$J+LL4RQri{13R)C<XVcae}`*vgcEX7
zroW0zjx;}yS-`%I)%SS6=$>x=i<L^2*DNv=f>>mo5R_`+@33uZrZANB2u>T5k!=Wz
z*m##&JzywXiP(;Q0zqk+TO4cQ)~PjsJE`@q_ZNiHhqZQ5YVQ+KU#l^Da4MogrK&v|
zK?r&7M(|kVG>XH;I|tX_1brJD_Kq_TSyjb6%X=P}cWSopdEerzVz`PB3Ijto$~7r&
z1aN)Y*89Hxp*dGQ6jjODP*d813FC+K&e-9)u!5;eE<jkFh-8epf#NM>$jv(cu`$9H
z;*7RMxdqYGWzbSZdUBFLvgE6kV#lIbLj+Q??kj2gu)i#p(;gIT0aICpk}1K*WcNJO
z#MD_HKq?mj^>V)pG5)N^$P=lXSQ~mbq{GGLKDRV7f5DmuBBo$w<(YF<8CoIc%gim?
zOE1;RPEU$bpW^Abt!Av^gdJ$GH_`@SGmkOdL}Qwg+Q7VCFT?>abjw<kF`+sQc_GqQ
z1sZ)ogW=~?Y}G}~hE{HlMRD{9Ks(dQuRA}^hFH&^=g?xCAci_NYzYAv?2^lL7F7+U
z09xt!!WXm3VC)esj%pyjpCFaRnk78}Y!g_?F!PXOhLB2S{&jbnrND)n!XV``2)jVL
zORB~reZp<XY@5;a11@(gfZXwjuZbquy@1-(^~F6}u{+8KGE~?Qb%`cqZAwc)YxA&%
zfi<|pw0<+Zk$tv$qRz7>usE60kwX*_Zgv*(gj&cBm@i^QV=9?=^Gi*-6Pz)19@8kY
z^o}h5qyR#CmoX1(0?5Gc7R(xC6$zUr#A{GlzcNI*z{*?r#XM+{Un1Ucrm~OW`%_BJ
z18VjC#tf)-9;qxQ;LQWFgTzEu8JS^r5?d_nVBuL$`!yo@ZWex&*BGV-$VS)Hs92v!
z0@YOvZ?T?;!>QJzX>`t(0G3Zs2ty|ycd$vKRMQ+?#fGU*o5WD_NErh%b-xZqH@J@^
zOzonB3?XcG35&tAdUnc=j`bfOwPtU012qA8ErNV%Is(zU32=*#A_k=r(rg)y%f>=Y
zkm+qP{_t)9pA6UEH1Q&c5oZt-m{wI<+ipC#xOBn&>ddcGBv8(A93_Gz3wuuj$!>cX
zgLHadwBvfiL93!f)Y**~GRpG^O4+j;vF4v~3|^K{^%-U5uE6y&{eorb(jhjMh<Q27
zXx;VOF%n*vMb$#Tyt<NB+Jj#j=0V`H0~p4K%@U1ys&Nty-D6@vWy|0Z*Nyw=gEY80
z9>X`|pkI8mDI4|@^j2j}YRP$cdE9IVxW)KoKG}8lAVCEp3NE^Qyo?)T#S_~b7It(n
z%)ogURP$*VhQ{VO2Vi)}#nq}7NBa9?=<qNvbB8_1#)?%T>sR=7Cq(lSO2wxNw)9<;
zf(K<RvnGDkq1GTfKeFQv$tUqbeRD@fY1t8HSNRbYl3lXgEqnMaY?6D(kNtC`c%dfv
ztAYr#Z(+fiSrGPAJ5EIp!Y_nWy%m?=aWkJzkwg2C@{yxo!PJ<?83Tz*I2rj1*K1Bf
zmWbRm8Pgt=|Bg23b|Er3$icp_JSxbHxq0pfNcT@EWfkK_jRPs99da8|#R6xDX`|^f
zX%fzm3)xPDG2O9i2v~75kGzkZ-5}zD@@<Mr%0HgsXwx4Ad9ltAuT6h=b9jhqlwalb
zM2kCU&g|Dg&BGwa$Bj!ZF;v+Tpi%Kkd{MbDI)-h25kux+$_dvSu4OW1=gpMC5Rbm=
zoCEvR(3bd1f<ZG?pxu9$(s6O3Vy^Eb^td-;r2QlwYj^BP@_t)e0ncg)joX`m@Y~Qp
z3Bw@WMzi1>Wn_hv3Cam6SB1w?=!>0DT`XPrsq<9y;}=NA(F~`Uo(;S$Si=n0_K$=G
zsZ~;?w+h25@ff2t?OrXXU)F8>nq%b3PzU-QM=8Qo2%v<Bh>1j5yCyMiH+g{{ZyBsU
z+49s}l=6&86y%SNvOwBb+EB6#Qu%I=!%@+p{Sz{--#X+u3?Ott|I4`eUj^s-x62;;
zN^pQ;B9Iu)1$hW@N$ZWXI?L|K)*O36%!gJ%Sl{QB?iurD95g~wR-xKThAE``l;_so
zI+%7)+pZ`lUxa(Ki<|l_e`~cZMxz(Ho0;3<0Pk4LGg<_NeoWNQLIl-YWiE8ATES%7
zs6glFIGc~NU<QiaS2YDK7{V~)8WH44D+I5KMPC<L%`^TI+Wrf<ooJM+#|tW*)-?%H
zFu85S1{VZsg!@x*6Rh5{uch6l$=gzZWb?UfvQ!k7raPwRKX~qNg7H<lzh2eX$_mhE
zy&CTk;gvyHYcOj)8ow=(+<Ifr<wZ?LEZ}&RV44I_mtQl_slOOT1$fs)v$_)yF5U<r
zzp)X;^hwMb5-ydH=En_rjjkK<S%awtpt`=bxZlA^S_`nXrmsTDt==J;!Fp~qi!1rM
z6|JQ{kEz9YArD&t5uWgs%U+TuPsq!D1y+_2agpE{MeGf`Ep(bmM#S+(!ro`SALzHo
z{Q^E{F#LFULC=>4d-@mXnu?3s554(g&qZFjN_fh0-q~v1<+6ILmoVf(b1Y%GNp3*I
z#fd!jgU2kdfga$G?xhHx7ZLj0_JUoN%u+Rl>himU^Ii1YpcVYQW+MAj&IH`Roef7y
z*oeQn-n!$*O(u6S$qqWaFEZyhHYRC_zX9pHV+tfD`b+r{f<NwdP^)O0fJ$N#Ae_Ek
zJhcAd*rv5-AEoK9xdK$lj*cTGy*qa-RN+Fk?(toxu!9*Zf9X&(;#1i!=t>yT%Tj5B
zK^cX&{_JQiAr_D0kFFPtmS}h<E#UK_wHEo^V-GadGSRKb_8H8THq2ZGl~9m##=&@2
z%$<5hykNYz1gj2$uoSooAPZN=X}dxv!>`}A%93)vo&9L_SDzK%rvAP%d($Z0DW<(-
z8{z?~lFr)x607HyHQE*q)2A2M<h>sWS-knwM@;u|cfdRNS%1$R-}kl8%zB>r9^-*L
zNHjrfBms-bmEL0K^SW%0=7GlZz`i~8h1;<FM4{<7LPKQ4d8GZf8+dgY3NYy}75+=(
zFVKxQ&g{}(btG7?i+42JT%NQCU3In6z1|_xSvk++9lz_)<OU^!9$ZG$trBQ40UNPm
zUTh|guOS(0jBxqgHLG^D<MP4a4{RudTgdQO=3`@!nV(Kv{jMj8OpjfFd#DYM)<--9
z^j&SL{Tt<suI|2O$(0Ah?`v_Q1sPIX8v-4E=0tjz!W(HR{%ou5vCKmeK1a1_E4)LT
z$C@4}dm#}xT@UlrQS0L$x*m3&B;#jy!O997M5=ugn$MsW3GPRRVc;s+iUD>bwL#a)
z#es%3s(OPZ)enfjYa|5X{sd<=zo=?f!hkAN;Wy&bXK@bbREUdWL;Cy6?V^*Q7Wg&U
zv0r?_4L51gq28O8^G+kv1BztA34#!=#VeLUG!^6qak5|bY&HlKE2*Q|#M-EL!QrI&
z8Xu*(Rt2@E@N)xG{J5xC;6Y_pbL|!A!!`~E4QE&Zhl7E|kV3~fVK3d)(l<C8;a;>*
z<vg|S5a36}E(w)MYCtRzQDjV9I2!%2P;wXFf%V;XldZFk3ng89d$wk<!aWW2Y_Uu<
z#Cd6rf*#MLi9}^f&@Pcw6?c259A}7i$1)ldxAj8Teldxab>CJghvgdPD9L*OQX^wp
z&A|G7uIh~cs8g@^gTtv4DWq;%!9@D~Ksz<AvF_&`lCy=)mXAR<RvTzdWpjFZ;DrPv
z5s`0sRJNNnnkY9^P`Y?xw#{TG`O#aeKa^-&g?3Tzi_IlZCc$-wRSORWM%-g*-wuI2
z>-Xz>W^u041AX#I#i<x-DbIU|VyimK#!_p_;tqJ$;ozMSlapY|_LMqAVU2L0XAwz#
z-3PrzlLaH*X2;%2l=4?zdhK;hB;fs_M}~iIULK->oIU^o_48&XK<u9$8$~%#q(jm>
zK!h{ZFne?R$5NYj@Q?8ZuQK43FB~64V9~JLzbHgq`I$zEtE$#OoV#YUSb}c!O441n
zBDYy2$&dSXvCBQ3YcxLytcf7#^~?b(U>7a#cbX_H5K|{XRh$G`8z0=cbFknq8_;7>
zRJlO|{5`6pNW2o8w<JMkL7;{5$0O2qDV1EW$+l$>uRx1^rVXm1=>_889!(e84L4P>
zCflF|E}r=Y?llDE67g<ESl^|q@n2g*CzL)OF3!UY%68=xXuh32i2@dd2>pYUJS#ub
zAVH2y2eGAkwMTckOJRZWop7m8IAeAAaqiOIWusuE$3QLUTT2CUYCBk?hk)t|9*y<R
z9=W~}FXjIAk_Tf0D3aMo=nJ;XfQXM5bLSljESKbi2$dVq24IftaPLUiG(~%Vim+!s
z7P=@bn$m7vKHxxi5W!SSY?#bxJcesQG)e*l!#m(wg=sg$?{Y3q-%p&Gv;<mqGT_zk
zwti9(Ik*LxRFXO4F_mp*OlvVU?=4Q~S>-s%u&mGKWE$U&eXv+2+=CCR#SwJOwk3i5
zLHJ=bM+nj1<_UY$&mf4mVUfTpcdqN?`lYoSw8Wzrc|9-d7x>#k4XFpF6d8a1)2#Zo
zW)0DU!d(HV$H)BiwR^1b=OU_8jz`y%+Kau`hxl%3aP9(SbEZ1myGLhvJXZ8{o?2x7
zdlzokCJWNxD!(*9-C1aSYURsuIcD|oZaO=S{*>dJnhsGvxYNkc(nN(3cP?xc$WeXq
zb=_blmtQYl%;WX|MgJ@n2E6sMSmVZ8eO;>q#(HcK$h%kGP5vm%c@_u<oac<SV5gKb
z2ol%2TVL3>8!JWzJ^Zqo?j)})X^IvpK)kOl(3Z%tLp*|}KRr$!0#)D^%El`K>T0-=
z8wl1Y$Q?-}Izm+jMG@o3D*?#kCixza%1S9Jq+b{8f;qLp(ea>lDtXYYO87Nd&#LoB
z+x#CpJ($S14(h<g`m~9{xP5;P1wfL9MEeEzuc!Xt4g>Gy{Gh@FtbG4fO8bFyBA>c;
zOi<f_-5G{!*;WM2+Sl^QO@A^=IU&v2LDYHu)iK;`ziOctv{+Bl7nvO{5M2ktICU*P
zG)cX`iQAzg-E$Ntl|_V<6@Pu0W+?zFsav2sn{`>qAsx73)+}!gP_JHu><9k<?eEW4
z)CfcNcPp~P_5pOBlvf@)7850Au=p+$yc<z0>09Yf%FvDCrK4Q1`-pp&3LXni+bwxc
z!LDc~QZ*+5T3PaIWxS`)9K6y3w6dN@XSw6U-ahRdcvzsH(FS75L!D&aR#U;p-B%Y+
zlQ1aj!Q`m1PuN6$HGUOB;9*uY(3E7^_#RtJ0+%XF%B!wUb(yZwf3&s9-yGYFqC2Ly
zHLBq6cD~3|e?ij;$grn{s7~Khavl%Jc@2{-XD(6z300xkEt$`-w?uUAF27Mh9J^t{
zean+p@NP9l{L<4H>G6v3Ukol}BbA;L=t5?j5%Pq0Koi<SPfn(AC}n=!mK`9K2?ehe
zB=d_Ke5&QQ?-ET?k%lM8Zs04FxQ{69=GostL8C6;U#{LvNaV10NV<jaiKe{H(O$)S
zP9Bb(`CMcVD%x<}%G)~WS<2v@rqvDkOJC_SzFuF^uW!}Ey-7!5iX;JKS#1YsotB{-
zUya4RA47zl>#5t{bsx6wuW%o+dva&hQO=(yKF$giRtXntg*Zcr({UY<Un<;10Xp$G
zO*T3Zu~xIYHYi_i;nm7Bv(X2FzetW)2zE6+-6=R5+5mmp-iEE<Z7nGbiPl5#-kUU!
z-47&GnX;OBwd<^B=oGtj2*^14GC_^4&2O(EPgJfD=CuPEC<VvzXL;}Fn?g<PqF=XZ
zA$}j>VE#_946^;~*xXnS^A|9P;&?D4NS%~|9dFblCu{&E_hdTm1R<r1gyjpnn6A`D
z^X6jtJ#v;e)v*_Wj?bP&(2~fk>_O)Lh#~m>#sXk#i@3L&Xbj)s2u{#upOWGBMyDu_
z@e5GFE+Lo0qgnu~O>q&=fBsdU9iYRPfn3rKda?O{dP#lhJ$@k@7o77<y0BJ5+#bj`
zQlhdWvQ;bz(wWYmh$zSU>7bPO0m5Qvbfn%IP;4_pw#inYo4U*{u!YSJ*X#2w-8Mn)
z6a=ImQP9kFWfNra)%s|8YiT>sFZ)IMSVuZewBCB(Au@LSJ-Bb*dgpMAQfALkpSdEj
znJy&wF#CSo#659BbX<w&gjl9goTF1WpjOg2T}r<EI4yCKm-n8P10Ix}uBr^8ggt;$
zTXWaH-*sGNik)f)9sLF4Q1_LN2NM_`MWe+IHEm|oBwGULYt*ioY9yVP>?CM{{`48I
z*sKq5>3l_tWSFu9q)4%~?RWN;uj6uovrj8#${1<P87%$tdPP@ApzJ>XXFxDT-PgrF
zR~ar<!+4eUP*u(B0cE5WxZk($8SVxbe(&hB9k2VJ6Syhl(})(;yD#gI9rwC`7kbD5
zr-Q`$$-WZg^`gc&jzvHLKkt%Gc+*JIfa_Jq*6Z~$IcDZj_|1_(Zf#BaO=XVVy+kZ-
zyv>ai2@-G>&=CQrZ0J_n)*~Rz^lrLoQ^3lp2ig}t5={Uq{toELc9>e4Xt|OlZZ^h=
zIa81chf>+kDzS!;#es6_;{YL9wk6^gA9Rb7@Io{#nF}K=%6}B&Xu!zm8Pf^c*^3xT
z0t6v5!a5*Mcx%96aNXyn<@L^tNG3|f#n2l>liqEVvUwCBc>H>Go^Q)z`4x3XCY(zR
z;v`FFG<)fkRL*F?+_1AKVE)2x`nXGfi7KDyVnctna!7DiX#G`aqAIraz=y#56sC8V
zim~4Yi8!w3c5@GDlD9A?Tcvw9?g`6&_D^WwZz-ebl4AA2G4@NW;UAU2D}yz*glglU
z58QNnj48sAmDOEu2K_J(^w7;<xf8)SXWZ+X?eCk#W3STYDI-~@tJ0AjLeMRu8PH<6
znCXgR>Yc8Lj>#pMc+8R4Uqw#7z0t~31w)F~`7anjl^cS-b^2PYJ4tN*Ks+xaw`#pi
z39()m(pQH@TjF?RJ7A+x8(_yA&qS0Z(!pfEA>kg{Nn%&yZMDP)IRMF87ggU%Y93Zb
zImK)M$m3<K>pg9r(<$#2#d2})q-`+}cZsAzk_&iPKk>j&Cck4CHcratZUavtYkGW1
z_GlfAaDOamgblFldRQq$ugy3rW<9RT0IGDcMg6-H8ndzWpJ^b*>q{r2@exnJe1K!6
z;>c%goGMVl-VCgrL(q}EH#7Jp$pbd0i~>l_`PvW#L+0h~`Wupwch1P3`bt_>rOFd`
z;t`EQ*b)Qh@$`))I7xF2h^|B?SugL{UenW)s_O`ZsvDWa#xTTEm?z@_Hym^P8mP1H
zRA&AJu&1}i#Vkp)LHw0}Di<x0sA7fqkpOT9ulTy{G9~dYS@$fiQTi%zx16Gk_*Kdg
zYf#fMe~Fw@nhD2DDPvqr10j^@EsnK!Xb$%5Dl;9GO>KW)uG>)esh2b@jo^blcztN0
zgUEXH^+M!lho7u+lMK%lNkU)lelqhAL9m`JHY>$Xf2h16)9y0<6heI>=#o1H4=&yi
zzeZd(x^dR#7B-Qij7%Fz=`U+X51Dc80E7ZsGPsxmQba5+u-T`CDONLybQq&3J8m~F
zt*OQIKDT<_o@5TlUwLbXMqQ)`qsr)m7C<GAnTh=B>WM0w=jlk#6*(?h2B`$6-)-#i
zH6Ye2Jr_0*k9#eL2?pVF`lC?|WV)s>Y&*k9BZ_EmfQJmrm?HjY`!02m?4~)<cYW9~
zlssO9C*1b_`WAr9Qkm2V9BV9Sy|-4?B@Ho50kWQVt@<&Un*>qpWo3wctl4Z0G69c|
zqO2Ur?y<bYU|<7Y3g>cUK1kd4mUyAIWS-IFFOfE8dCiYc`%{dYlQ=RF>7ZT$?)sGK
zcQ{Lfr=}S)TgSgk-Ftj9d!XFo&62x+Z2*m7dbHYp;|fc+f!=fgL#3*nwLPaG9`YjP
z20=6<wv2h4`|7f3)d!_HQf*%Xlx6VJ*Fq?I$Z#lzki+v#497eE1jTF!i%%rEnEvaA
zI;r>=57}{#wbGsFD5^C$;Byy)9_<J|uRf<tL_|N1M@d7*`mRyoS2GRNUmdqxqu&(G
zuVJQd3WLJ&XE=y6y2YUJeX8zC+ZKu}ag}h}#Ci&_o^*sJ3*`nF2yF`Q3U<JI|H57u
z$7D;ksqBg~jwM9)W0=UQqcB7Qgy+ec(towg)uy4;669x&TMT3M2r*PPVo4>2Q0X0{
zNcvK{2wH;x|0cS=1A-XmaQ|O`k{n_|Rr8awJ3`3;fP6fr2~ChTLml}I=tQ5d;sw?r
zrVd&h=qNMcP9YMp*WpI*aBt1Sn|0$(1art`n#F$He|(B<?bMZfPQm8$cq&Zko-HeM
zd9OUysBTA0@jC2LF=K)t|K_o6Gh&tS`-w3pSao9^*KyKCI0cNRTUfEkmM?cPvxWG&
zzjXar3(3iI#gNK0Lw2JXv06hJmE<mnklAC=s8HK^9*pFe95G%f9Zxi4aZ?~M8tbp5
zw#X|8m0V6TI@lWRmwYQ%(OkD?aRmD)X9N*skR4`AR`>>##sY|vFlj!#P_y8sZxck(
zJW7~G?9$uN$cI{UJfQm@Wz{5N;{XAFG+P|Kne~du1FSeDWQr#im>6ICh?`Jy4vlrj
zH>(Ndj#Z@yq(VVr>NkSOA2B$b6Dtc-rKJ1-)NLC$KI%*CNs@HudTUG#;lRUwy3mfC
z81O#F6Byx%>+JKG_bS6@3+JfMLk+7&wibYx%vVF5jXHUjJ?4Ab9SA!oyLP8uwfPjA
z!%*py1RYUDQYs3}ohz7Fn-}Dg^Zs8)nWA@DWIGxZ2x+6-RkX*=$;G29Ly9kOD=S(p
zv9oRgr64;AXckKJ2pv}aYXAwb^FpZ8w?r|-nL!&2h_Sa<naAw?%ego(jExIe3<m{)
z>P6&}lwv44&8m8xAEKUb-MN&GIQEhVRb{IpzA{S;Ns&nEc-+g|7(+}%MR(SIjZrp#
z3Sm84;*=d~sgx<T1{LsG@Tr%v-*dp-9mGq1&=)dW^RnjScb!Znv!wyY6iSA0{ayl1
z{3?u!qpP-(!kNxwQf4A=JCwhKPppfzhccdi$-q)jO37Je6pB*v5V+024PLi!e=RB4
z$R_|TS`;I#)lW#nxO*8~yxKAX|H<l25kr_;;|j9Iu(2ACA@QWh^%@UW%$54qmNJHJ
zYL}O9on??@X3i~5jM*Wjh0xeQgrfp)&!S%QRhsUgV#L@$ba$g_w*h4RkT@T2yKl5O
zuzR>zEfi@QN8SYDa^PqbSbHQlMtZDn=~7D>y=&8qA}@7mc+%0*aYCaJ*t$jP^roLN
z9j(1FUt~V)HFPJbaKXp3VJX_Y($@*`2^{!Qu>9NpBxj6;I(<Qt4<<%MF^ZyWX@IRJ
z%S2&(lA)lyOr#Y@(K$A|f6K;F5jjE>sA8VG^~cxW66UDW0*d`gV>Y7c($-yB|4p4V
zoXhrWqQ0g_54d*}*e)<P$W1)--+a5RG(sr@xYVIF&sV-$tcu(lko4+kv2_~FI5kyw
z^!vMyj<FWr)DM<r?(A-=Z#R5{>&3!K!<L#)VXCbunJDh7_!DDP3}nh%+PkHdiWl<W
zPF8Et-bmT;(dIt<{#Ba5>yGjQ4HBI+*zf$AE|_@JU|tH#;2!(0Kz%Bw(zeq(6(?(8
zucj8KK#hUcN+(;Br*84`-Oh21GaK0leC!Juz|>F?CHBgPn%l6Jz6GzKu(n2h&g!6~
z`S|qPsQta;E8L(r=q@DP_}#nO*VnZ%j6rsXYps^~da7-4XANiYu=B`9+y?OqC>bhu
z{2`ge@f2uo%@GvQA{SNXloQUbD0nU|XNawUcQicWp`V5-W&+fv5RwA33n2zD$Y_05
zTZ^*2y!pJK;c|Dgi-j;qD|BpHgtf2r8zCO+^Bde|HL?Gzmn#p4a((|VMl&2VlqKuf
ziw-5m(qgRXNF~zHf{>AI&`8Q@MB*ey30W$VDEn4vl8}TPOV%lksBBYOXra^ZerKlN
zb*}HXzrS5`&2?4RGw<`h_x(Q4{e14v=hL(pAdS^GpEL*t*na@W{_<wJ^zOEtKNb5#
z9;tkO?wxMZQr9oE5_wizs8r%4KxcV}v~290@IjCA>Tw&x>NE$P?Y~m_jTh@^B&hG9
z4cVkjxhx{VD`10V`2Fn*!-3{|{L2K93-1OiuI{IwvcHotqqXK>huponwehnmjF)Vm
zBPTpLKzci=Nk5|*vOYKu#^&YEEGlyRuRjkcqs1W^>yMO<B%Zlhb8$wCKK6>*<OSG(
zkRJ|PMp{#a2TD%76kBe(cGS=P7Du7K-v@^{mpfz;Bc&q%`)YD?@7I-xPFSWr75E6w
z@3=&1Y+1vODgundamRJ@$0?~HfJ<HL`~kcV{wSbtKCbrb%?Iy==!%zYX}Lo(pnt|&
z2r7C#Cz^4lYonTm>#Q({PJ)vc6j#@E1-6Du%JIN&XX*_nMncSPMzyO9@avx9sEIVz
z%jz=Lytx0g#4@Ci^8V$+x#KSh+ZZCca;&LS=d;_=_4PqDBF3CjWD0KX6ojXuW=;1h
zX0;UX!U%%Q3?u(EFfAZl%MxoE-Z3!UcRR#u1u%vT0eqV+2%QyGH2qCOKq?+DkW>+*
zkTp+Z)q4i+OM?gi%c>0J;sk4YiyB7*KG_Cm+wo|uvYow+X~Z?*^}hk#KOV;&m&qSj
z3#_KMD2T&{o6GynKg@mO!_DF|05{XaX8$^FtbsrZsfbV$=Olx0l?72&9<ewV)y)Ek
zvQJxT3V<?Opg2^I*M8;zmF)jR%GEBZF}vN~S5aZ`BN$9$HSnL$OHss`Ns1P%j9Lf>
zYVHX#OY%-6Dr*h}u39?~1$#!qCHDIn3+O^Wn7sz(ETQn(qnE<V08I^~Ht4wy@OT&?
z-8o&OlyY<TzhoNM?{O5FJwbvlr~tteVyQ&b6Q;9T#6zZ~q>#cNaMaHS)dkv&Sml^!
z9iKHG-iMZsqvUd|%fUv*7piECG#Lw%-i=PWukuHrEI$`wg%SDkpPC9a+SF4K|E%m1
z*`J7Rh7`7JjcW`IbgA&xJ|YjSj-(v>IcZIVY5TNf&+fN(-)-^(z?sZ?wfA02vWkB4
zh7a*zAwxJEIL4MXJ6~=I%aDX5q&#D76-AVP<x~tJ9|kn8Lvn3}j#nFpiM~^`Cq@Gk
zIbtSn*Cj$8@;!QPTS7wVrghXQ@gMb08HCa`(S7yWi68$M(59S=fYC)}Q3CJPe|@ds
zH^RIlCU0n0TK{dTt2QQPH^rgpFW^y{kl<H@Y&&vA_`edWiF6eL8{7`OcE;<bOMC5`
zGCJ@PK(3n$EklWNMLVx`cuzU$0jMb09)N1K*aS4yjtC781TMtY(C)|}`<u$8)_~#9
z3e(X1Y#_XO1_n<|8}YRZhbMb%KD!PwOd^InH2Xnt(cl813#{3DV6Gr)*;w=Ti<%x=
zkt=Q}QPQkTJLm8@COH1=EZm`5RYNl|epb_U@7R&AaJ1WHodW{@{%Rs0OJxJD7G%sQ
zQ3p2w>Y}}5wvGGP7vGc$#iARI0_?R%|1CvOj)qQ^*~#|f>xjW4t3iRmfUZ?hL>-_Y
zPh?+)C0U3d5{yj>24{z`-KTp7H^{(ofGdg5Rb!t)X5GF#b=qEpG^`?iK^b~+H{MSc
zcK{e!v~_>f+^)%ivdhoHS%H(q+e+Ic8jnIRbgu<FJ<Nta|Kwl(H|Nx#-8*~e185!E
zf#O%7J^X2++X{e9hO_3rZ?gc6>46S*S@SpGojnh2|NR#E1(T3{3;M|;co}2*e9d4)
zu^Cr;NT*>0B@yKdKzVfqrzE`}iyxDDwn*EJsT(=K1I_u9DJrX1%mIp7)w(C#If?m-
z9q_cGxc_#xMTcj%M7AgF5MVpHF(WEOqeYf!wF2U+jdD7{rpiQf2?*S-bB;kT0cAe|
z)Rta2<_>H&|Mm9a(o5016ni7)<rqV8Ka=?I1{4m^#3yfuCO#o;7=*MbqbqMgH{=uv
z*7A~PCX3Kfc?|5=nvEa;-5*zuD(H*ftu!?v;NJWmZ;(yg*{ZO4A?_KeSebW=PM97&
z<bYp2fPZFQ^`PVb{szFDKY#`OX;-E9<F4oz<(@Ge7uRie2N)&|02+Jfc|LuAIwRo^
zQEmtd2XzxU`B6<2>HY+stIRIJTq&f25wcnfJ#x3Si~{t$<*dAs!G2I-i*)Gex)gU^
zHA~lbFFo;jW=I`)rGMjjeE+4zn>=+^a%bAuY<P&48+G+yNNqY#7np;w)I|)ezCsh2
z=7V(J;vFArm2-{ZK!}orr`?%tsjIH8`vCaThM7|itry*?6R=R|!lOAqH$C9Xq#m9G
zU^XARH98yE<72@&X0&`%5m3F4!cV9!<gAAc<poYY$3crL@3d18@W+r`Vo|~{ie17x
zT!^xgWMQWO)mmuARd-<eUNjCK@yxpt&KU;4Kh4S-%*6l<L_0C(;D4%DteO$VjxwP`
zIcR!!ulewR&va!VFY!IqJ!%k~LPuf0Hut{s4&7f<oi#7cUqN9PE(98R{9o6i0(|kE
zd+<JA;^SQ(sX`HT1`+}NfR_?Dba`<Cwpf@1TcnN_N3W*Har~oG$TqM9!^ao6*(P3X
zpNurPSLoTy(Cn?B5#n861Ft9`N@tVT@7c-yc@uxaZ}PSaZXOygT+x<Y!wO*gb!Heu
ziHmUK{YldMakc&e@7jn61{mW6lm5=M<*^@StXFi(x1Nmau9uNZ*af>RT%H;S4DWRX
zTivZrQb(X;6@_s%;IwbzzVtAI2a;D1TvAPyrZD<=;;NQZUh%9h6Sh4djV^(7Otvb>
zKN45<4luZ{sGW*M+SY~2p9T>B%Ul0gm54SMfY`Dcdh6#w-_Yu~SxFP}`W*Da(f!*=
za1T)Gk3t9M8YIH1DD&(3x%FtH7mUAt!Bp3)n@~e_a=+xNZ%J0(m=6%+w-Hn#2t`k-
zq`Ix*xp!N%b2Q#DKPG{U_(jAXrr7uDvfv8`Tllf`SOppYdvV!<Ly&D>U6&|Mp*=xZ
z5=zLo{)<PBYE1#DH+6dhb%Q%v5TI5wAZu{Fbo|2>X+uC*i_w-NsxfPans3(^(sH)G
zFi9uv^$~~+`T^?7a%6sJ^<g98X!dq+ipew%z7)vXnwqljHJsfy8ApDi&{9zsrJ*}v
z*Pnq=%E=+x;%8ymy##3eUHB#M`x@+qQo6|OKkg^KYXWJz0QC*b`2fA@si_8(c>ons
zB~a~i&YrH?gj(M~SE!TE|3<~qYZOj^SI3mtiPzHff&IrEE=5kEq<jlor~9yBgS^q#
zd$8Qo?QO*)W!>bB^W>I=;CpjvDE}d-{_8<ede`?#vMTSzk(xaX$!oq>{lZO=H%v-*
zUZwwlUQPm+bv@>rmuM}FWY5{_-LZD7rl^APKpKd}ZIt}uQvv?Jf!v1E!Z?(I>AI!2
zEptLU@|rHj?VwwUUsqNoQHOn>WNHHCEk*I@cuMH}kgq-PZ|4?J%D34Fw6@NJD(DZ$
zt!l;b_h3QM27TRKbh-#;NvtRai?IbcGL*=zS79Y{EAubCV=GS#SSc*Jyp=MKN`b-E
z4&B&VebV<8yo$b=ep?V<boqA$d+uh7_k^HH66=c!vZ$S--Y*XKI#i-1*&hpY(?{a*
zYaDI22{y2V=zpU^2dMBhVS(QLMmg8;i*bA^s$B-9Eb1Jz)At(yp=oFzHOcg~+>?KR
z_%cA1kA2CW0~ef$fGBuP=JZ{b;C++(gz}+%(+Wtf9#EVZsPYv|a#SIvG9AyFwzz{I
z<kMnTC#xgi|5osVtHJ<pM%T9jr0)!s<~I1(d^oVwouhw9c@0Jspyyy7heEgRMJ{w1
zL!muOxrj$v71Xqe544~KCj1%6`1W88N+m--cI#k;GgN3e_0qxg4Qc`9D=$*@>Joke
zJOewun>^>#eIx`dGnQH&j00u{m$NM5xdF#QUBy2ASR3{N%)@A%YjrQ1KIlF@mRL>*
zs6FMh3FWB2C~_|9QB^tJd-lY1S8fa;Nk!!SS1x%uUH|^#&ZZa!!Jxd7(Wk{8Og!;z
zQhS97^-3v;bliK}<*50KrPkSzQ$_M`o23!+NZF6P^^y=hi!O<m9g1&uqx@i19h4u8
zt9l@6u|p8y3|9FjcmAahE=$H;YQSJ^#H{<_n?p-Or5b20_Z3_eX+RWC`UhJ6B?~L!
zB$RYOQGK%Wn^%kS(F3-BLa%B?VflNxJV8q#i65Z7K9+$Lg8xw|LimK81a`sG3-N$v
z&6#qld!H74mTJ7wC4r-Zn<XVfs_{J25GWzi#^#H&Lc(+vrHrGzdW1p3q4KD%m5wDS
z`<qHyiFZNR5kPqie>YOH*%Ne%_v-v)A9=fg#b)wAbH@hDV>|Sld(<zfyz?xGYK#>L
zZ4x(b1wpejA>t7oNYGAAA?)K`WBM*j@saC%+LlkkA*&vHdJ`CsgjPh-ubPBdIzl)0
zRR{2Jw<5=ZhnuP2ER`KqOd?gYoe2R3EhD1iF}?H~E+snmzt3mI?Ypqj(bDPyya|2o
z$}C>li8q2b!LcgBj-_xH+Yq)Wne|rF$<x-=NJW(dts<wCXiRQ&#?kDFUcg;9DlZTD
z0py&4p)ed0i;V)xk9=nAPws0QIEiVKB@;FZQ=sv0)}9<n2&E4H4eZxXNdl?SJbVfD
zJk^me_mk^1t2YOc=xQrEO6Y%1O1yxn#(rM00bVHi1F_+w_e0$9E*LO1E#S0lu_ix&
zgqTc@=>x$OH=~<i!xt0s2``dtShA;iWUM)h{Ky<9z;HYJ_4o6b#pMxN(~p@ymuO+Q
zM?G?PG?CqEuXy+3zPy+TdP*2Y5Iq+SnQ?zGnu?}e`bKhA0Itj8@Lm6|`XE+%31BdA
zIh-uKJ=CF?np`B_TLnsy{GlNVZ<rwrvs)G+lcgwN7XSEtC8xK#EKtTPinnzKXpsaw
zs^-+3kC?^tPuc-Wyo%*EsuyfmE_NVdCJ1%UjnE@rdq2-1HTDc5Ou9YuV0Z^&UAYv#
zdS(I)dBZYcSiZ=HGY(0JQuBDk(7fO90P##kJ#Y6Tg6y$;C{psqdL`>yXB`&m0^Mtq
zc%|cBcwmh_OZ&AH1P|k%zm-Q1Wj@oqC)8*I1<c-gk3bNG3}NBRFPxak8|DDRdN7wB
zYHg-V90+9wEEsb9vmTP&c~QuMlphSZhwICc$m1ap`g?fppLjiZ=A)HZ|MTMTV1kZ_
zqer+(8gH7TY9s-?-m!AxawKI&2)+#0EAY~hp#{VI1phv8UY&$pYr4NSDs#T($$?^h
z?%mU$z-$6)_s33c!*&OH_5LbEkK+)y_q$7e6<Y;Sy4^g4(k?USEWfl}hOUdzz7>xp
zuf$|1>a#XEEDRr9+s~`F8xF#3h<o%cY1d;WYAa9>=)XebZAFKB-xq_TA^#a$abc3i
z0)$fINvAFE9F(5`f6Z*D8XSi#+nSUfc)1`duu5*4w=H?VDve~7$mZ7dS{!B#{xU?B
zsw8YTr_|z?vBe6IOoEn~P}y{rxHmtzb_5N~KeAIdBRdu!boC<eXN%1?>rzXPlm7?U
C_SPc+

literal 0
HcmV?d00001

diff --git a/content/images/ssh-openssl-haproxy/ssh_simple.png b/content/images/ssh-openssl-haproxy/ssh_simple.png
new file mode 100644
index 0000000000000000000000000000000000000000..38655ac4bf12a6adb806f2b8f59853b91c122142
GIT binary patch
literal 17391
zcmeHvbx@Vv{x7j5L|PQ2ySuxkYts$Frb`+G1SJJ&=~4-40Rib!0SOT|EhXtjQbJ1a
z+TeSR@0@dgH~%<y=FTwiJnLEct@Vx15TmWBgnRYYRTLByToq*nC<+Sd0eCLQ!T`VT
zw_Kq^K_MvcRy6W<^|y0$fuS(+%U?b*^6@yhdwDbRD=_l$S$lYJ**aR=ds@4Cak;^~
zK@<4y>Tc_3=LoaC?8C>y$Ir<l#K|Y5$0NkZFUv0sehG?l@$w0nT=uuNhq?WpP{TdY
z(Z$7@k?*!37Y~?<#fX=ekzWoxsXMy)_=CUxB0`oz0+(%`zF;a|9#JkHR`5j$X5;J*
zM)L9S@_-*+&~)3;6K3ZQhTZ1ny_gWWJ(#z({pHrYJWMn_pgMtfH2pQLy#$mM`S=wt
zx8w`+^m24}`+WjluHS>fXC7HF1@ebq{`bkji<`A8?6R*mI1DFP8o7|;Zwd(bYiS7U
zdfMw6@;f^yYWY~p+jAm&{5jiSbGrH~d0KloXt>+LT)-5z{+HA83h)bDPHG!)*&>2m
z0=bI4=U?mmUKZJ)>lpZZL%d+K7u|duZDC%&XS;0jc6WF2cJ%mrqm8?p8_ec6JATh-
z?dj?6_xEmg?k>Mi_q&e=IQZXYM>go%SiAgdtD&Q<x5Hnj5Wd_CvbQqK(ca;&m3f6k
zFTc22|JC{TNxU4aZQcDY$6qx4D;@u$rl-3*nC}m!U4HoUH&U+UVJ=8w|3$~&>j0_w
zUmyDqYIy!brvFc-bMXxD;T1KJa}!n4^S^B`5TI%3$|-V57%%UDzlaO71+@PC>h9_7
z;BN2kX6>T*&sI54cON&~3zY<tEBDVn>hA6yfRsojbAow$2mBTsYaefS(B$Cl>hk+5
z%-_-5=#OV(@XW&{2s$CZC?Mq&IrGH}QbaFa+`K&lkc0m5^2aFTw|@@1c>8PI<@u0@
z0%O6;zai@HCNFm%Pn+Mp{w=NeFX!^M_Ou7)>0-8j+fNAD@4uFmzk~{?D9qgz2DT4m
z#uMgZ?d|CM_l;Wr))o7I^h0Xk|BO6=KEK8BzuwEgk=lQItlv8H|3!t5=l`0hTo~g2
znmzw7ipp<I@wImG`7O<id_pcjXXI=heZiwW^6|E(yPG%6%@&BWhtC}sM;q`UAOMD5
z_5|YlN9Rk``&0H@T)=e$W|#AGaP)@hdRSlRt{=GZK-(Y2=5i#sguP*ZU4WNO9@hV~
zs~0BVe}fOdXB7Hvmyt#XOwKFt``z!Kw-Yatk4V*Z_~T|0`Q7%PqvXFmgFiSYXKmwr
z$t7J~<;x@d!G^!z1^)r8;1m2iFZlj)TK-48_=|`CIlK_Or1l@Y_(NrMb=Cic8Nl`U
z&(R5izm(uFrQrF0Rw@1xp+DsQ|9eS5`u?q(aN+&%@%#_Hqzmc(-!QrV;a<}3<Nu+w
ze;Uw#)!F}e1IqiC^#3OqP=0yf7W{W2v5Rkii+TT)u8XgKMcJ1heh)zABre_cs{Ioh
z6cid16$M#6e~Zmr?AFKnN4<?K@(OIat&hUvN()hSe(cA@wS}`V-qK5kvSu+r3mNoM
z;n}=J;d}xa(BklGBszVhxXV9-Cr<Bg-P^kRp>6H+cZs!cYogA<QfprD;JmhppOwLf
z?$z}ZbK-{6yu56WLg@;ySkNAYzQsB_Udy+eZT7JnNaM7dX>eU#%fFxIE){W=gs<G7
zlJEZ6Zq%aaT8n0`nBB)`icFU6K}`35o_(Dcbb|Ao9&Ym6=LHnA>X+%AtXcj#NiQ|3
zdDfpTT>Vzrw$g-)(Pw^Ilf)2m9aWJg5v#(yWt_vZ{d0vyo7g#eOrzVZNgpX49;5Bg
z;4d-Eb~J9$Irt3Js`~^#7ki>$Py#VtD^Km$9@hMhqYS#m>SVh0PWrk<swBr!zs|l#
zd^@L6MTEReM!Y~CL?)Clv~%r4zWWUhBbxk^gAE)N`4___LC1U8@>V^OxO|yE4rkm~
zPOCe9^5x(E*;Hy+ofkBM?>>K92io|Ntt{n&9;mk$);~VCd!Nc`x3}DHxAOkUYGH~d
z(KB!5@B5#$8mkV({kGKey?Iap&F-roAjUKRi5MPO#j=#n+`%4`C)9>q4-2K=S<QC8
znyHm9C7F9IThQ4~Q|j1uzW(fJ{(iczNJ>f?r|H!uzx5H?Qdb?Q7TcLg)5YRlx2>jX
zVXIFJEeO$EKEJL>42ZqKi8irbs#~JEY`r>|DYrG-;+J0kLm@Uf@EPI6381PBp)xAu
zT^t#`?J!2U+iY`Ym3d3CO!=>wH#*O6XC~1rWl03=VKw=E9c8q3HH2!B!cCGc7gMt8
zOQc<$vd<UP$QB~u>)7eWc{sn0#c9^;U7C0rN5(&hjxS*qc=+wB=nYjwo_qxfQe5Z=
zf*>?|KhIBN?ce)#J-7mfu$aES|0|>`d|k04<XpYlqU~7_|6y+`+@@E39*_gM#~=40
zbN)-X-x1~2S=05-ICqbEzjErllkivw4fs~mdo2J%cs{7^>txOI4Sn{~7QE6M>zEMF
zmG>){g8IE81S36sODNor3@55B-QAj2Zg?F|*$>>R&DXMyeb!VZ)r~6BI2Twx)$CL5
zzwNfwWeD{f(=*AiBnXB3j2y+*-<i<eBp0`<Y5myfZpnZ5ivn$7v(Lu6y)r5C2c4|}
z-)--_5fYK`7gkW2#l2pCZJxH^Vf(iFjg)Su`HY1}CyPVb!UGMjX52d@X;mzB*jK+}
z=HJ^Aonqy=cj(e{{Czh%IZ$H#YfHPL3}*0r78l#wv38xV>!0MqCo%CT9PEa&V8fzo
zIT>?fQFTh8D{;3U-^x^?4%Qo=@nTa&h$?E%e-}g(TR)u+nqsRy9J=u=gUZVJ)&t?v
zFPv!MOQJ%4Z=wlB%am0lm0o^T3sC}#beQrupO3X~O{ISy$`3@a_S~&vi;-PuJDN+$
zh0F(i*BB&WEA73O*-ij~c#q&eAfa!R-6Zb_ZmLRU*HBq4GpIB<yW)h+OWQf*qmd<$
zv|%lp$z`GgO}N1t%%zRBUO>&_MKwWM?;dm*F`^}TphuhfOfmMIVMcqd4aE1`BrP#J
zS3->MKtXa~{Nnh{^SDsFlaL0B!{+kfx?Yx1;(LeRc+)LInm#jD-N8hA!fq&}md3#g
z49a^0TE+tx+EL60(O`(|E5xtq!o#7aU@ehFNE5pmzQcRbNVkrFA3N5frQ6#bzlIwe
z{?@-NIk44$Q|DQ@am}3wR*P2uR>iNUT=bpLzPC3mIZ8%gjH(DO^y;_A=%|c7_a|9P
zOv-|7l&XSH4_BW?QSs@Q8$3RT1=G`FB}(+Z6<z90NHEGz4wO@W`eZT^Y^cHbjd?J<
zy=Jk$zMv%6H>>H_&r_RwI{BI+Xy_Q%crfv)Qe7i6W0C{AHJ*`7hk_A8MqT2R@b-^3
zr~S<N87284(}S7(%qQvl{e^TMZ%GXMjCT(<CZsj-84n7xZnJCM0E}kFIer5#KYWa5
z&n0;0{A|MV{@9z>>oj#=Sc%p|=tF=>RYe#WDLhdYLw25p<gpci&KB_uZOh4OU&Ndx
znzQy<8wnTsEHrb-MLlgJpN;AIkvnpJxCuD7jl;iUq*CvGI8q6W?JJk5(V(MQzbWYo
zEu$D2z=1&^d8vyJC>ed&HHuUN9)mMj(C2*K8*86hnt$b}>ow!rnCV>A#B>^UfXz<0
z5cdP@Z&p29h|^s9U&k0P{Q?FgQ+Uq5Cyq)|tSNGIdg*qkvq>)O`c++M0y&hkGXc3N
zrE<mUx@lqOimHyEfuC9fygmUlwJtlxT&WN$xj}vZtR~?5kgy_hg`vW~?J8;a*HVJC
zt=7p?`KV-PhRRt%$m{#LZ5zya{?C$|onJV~w#xyHu*_t)gN?N((cb%7l+GZ!1;ina
z%rLl16VmLr?KUj^E9g_DsW79DxJIGLpNCG`-3CUdX}kSYeJD#X<#K`c69ju^;bTg1
z1C?1py?Po;q(P`2B&n-)njfS+-Kg$RU+j*+Jt``P;DiD5O8Twb8PQc+-oT^^X{Fkq
zavFW6h|`1rShr<wWq{dFuj2$!zB<VNAr3kamq2J?!({RN_G5~+{4uq4weF!eF~kY?
zTu%1CdNQmOYh<f`9W8?4Twl}jQe@`ySdihj8zil}cjVU7_8}Za+y}vMe`B_#QPgue
zI^gH=n)!riIa*tTyBzt_9aw(INofw*@W+=HSWnNXBm*-(H+k8!gdoj)Rm;|+miLYG
zAu|+`fpBkd^=#F$Sk1Qw*Y@698_w;0(i^;|Adtpo?xZQYa=nQb*F7T$!cg8(*KYpO
zO192#+agneQBH*KForo#8>$7FG>Hnv@|RqfPd-0AN+-@w1b?!DSs|-x7(_%CRV1on
zlzPeZ!_v)}#4H0=o~(9;p%*((R292S)yl!up^^C1T=!tuYgML=noRrzlJlwv--GjB
z>icF}s`kmN5i*DzT4^5yJo+tvzm43w`c<2c53#Ygk2WT_(<bPo$YbD{BB|_#noM-U
zv)(DJ+6AGX<8Qa5aTwFBzz+P935hij_|j)DKQ~q7HM5(`<J91WP1V_F1JkRh$NsS}
zp02v>Fe{PzUO4uBKC6W*-?z)FnpGPLmp|lNO3azMw~Y<vich4n>b|>1E~L)ohQ;Xf
zGydkzu=qCVmT{y*I;Sa<g+#iSnfFJ<FDeUy@}1XSU6b>l#Jwe;T%9jlX4{{<3a+{v
zS`wdi?{8E#4vsvPe`|Wz7Kqqt#7&FDCDzhL<s>@0orSKi_wNJ!9EztDAI$ZeD=o}h
zpuX*Up4VeH{mPM^Sb&>>9V&eQ*M$-JpKdk|<Zk-+?rWXszI{Y8G{D`#5i9}iV0?vS
zv(9N3CbhuPXRicxmQ1s~d&TDJOvgt)6Xy11hSgjh!XcLGJOOD~Xy=)Is5$~fgESi+
zTDkMrJ0z7mw4cgBnHA<6Tuna`o7bL*cPuHSh|NsT-TxKL=)*16kd_$)!3x;z=`r2<
zRPy2ORmLnhtrbS@yT{}M2Wd<19;b9g$Yz9LKzqw!^E~&WX-zO#u!#1e7-*fkw+VKU
z_p7_pTx-BkQMv`&z4(B9YC+rPzyqf`pACa1^6WsCC15%Q>g<M+Rj$0|ain?H$?!l$
zK3B{qp5EvE0*mT?^X@zHl^l<T4<dZP4-^&7Nn}T-ItZ(zN0c%jHYS>P^uALk!e+cj
zJC$@&KViX6>!O@cbSnhMyxE&qor*emU+4Sz(R?<r!%E*8pXP}LXR5qEJO0l2W(Ygr
z3~#IL$b!~qi^}q~$J0b!h!*A9_>bV4v(5;XO4CLm%lqd(#fwKyV`XGabbj-}jb~Cl
zJ?qBjl4OfV+#P4ocPIz&w)H6!yHUbWf$i5zc-UjIeBm2%{gQ-*TNS0^b!X5bRh4zT
zZl<^)s~(wMV9Va$TErFpOaoDQ;XYAiUK<~!p1~t4f!n<hbUTie*5bg}K9_OcU%2CJ
zFZNn0mIZ!ZA26}5U<a^}(@o*sTRYJ-bKoK)!(foOS>>TX%0UL<H`P^=es6<T3mdr6
z(;3&Rb>4T=GRT^A(72lMe(0ylox&HoDv~wQ5#LVEo7VE2?FKVwi3PbC>I4sfg(6S8
zOQXz`%<+jp{~5R2<V#xf$KQv=wIl*gf(t{)RT0asdS!b368j_aP>hYueO<mTTAyiU
zX~m!C+xOLi)gz6G?V%g{<{_q;m8Iaq+}<On&3eaYvN>H}B;je3Sn)IO8r1%4tjgo$
z=9`kH1Fz7+_=iR0`v|+9`}DOLR$F{=m6Neh`H>|?E7Ls|eiCx>mHA^Vf!IUx7_l>9
zDxo=y@Yo{?u0-LK>)j##qSvhaS;L3PMC2p75`IN7cZWXOdCqKtQu+}0A@$RM@ECN$
z&_QL%SD%5?rpAZ&ke>LF$KBQ|eGf-UlA8@BIXs(;5AJ!2?L-3C8WD46DgfcXxZeBb
z!OsDO5yBH*V!3EBXa_E%Pg>G?f~J3tr?OnGs8?~K7)*qDbustTk#W@*;nncnM%Ni8
zHG|BgKo*(sMHP&<yeQK4avKuFKmDdN)_25H{FwIJnS3x*G1yu$<9fuf=7V?y9^S;p
zkyr~N4l#M<kYr20G$k@mdZTBAb>~G6KJBg02iNt!$QM}mMDpos70axib?!P4sUTiu
ziYFdFt;<`teOM=?G2boUOH9KWWqb34j!L|Hp_fJ>9%Ul{_#MsuYyRV@F>8ZXU$HE%
z5MN=!zh*nkY4)^GQ-p{+{H3^D8aGvdNa=HYs_V<&um*0uLWfp^2#AC5rN9E#Qw=5#
za$z@hwo>N0{3(ORPun#$=^b6)lqo+@Xl3?ugyYDHb=#(GD8yJOA{w6-4xjFyA8yX5
z5hmUuEN9a%!z$Iqm=pbyD3)S{@FUuk`mun1JQR^4wuFA3)vxpdUTJE0BBaw$@lzA(
z@=S$NGIRY$Bz#wh^o<d_w^X7?9WREAvPf#;v9Qu=1d%Xg7&954F%T=iD``)T8ABa!
z-Kv883uTRka@1nBEJ>|l3>9j%{M=$z_&tuZTx$M2F@-E;=&#f5j+MQ*_TW=hYI<*F
zOFA5~TE>caw+annxg~f1Hz0mY^6A-}X~g*|ZaNLZ8rBqJj2lda{>T2J{;U*S-SecK
z^tkcx0hHcNP1{v|BXj@7h~A`=DC!WF6}~>%1%;~_(TTWPa>RK!D+EGsd+vDHPCYlO
zxl^lNkQcb$f!~-nST<j`pQ5fcOY3t&cpeew>M6KWK<&SP`th-SEuByI9K*xWBkU-z
z1C}K*h7a4(^~cJE!{MY4m`B5V-g(8|<W9?ZqHXQjX`7}3QL|BhY20J)sWHlO0B*Dc
zIRDon0+EMrA6&s%eyD_sjBS}Eme<D<=;}Pz9n_gf`+mGLJwE&X0amc|FvQ{;^<k|>
z43~IPAysq3dZOq?YrKCY&Z6H|nJ=A$It|uTQX#xhh1mGH%}c9IT<-L)=n;t+Nq>FY
zC&cf$ELvYP+#p=R8VZ@Ovrq6}g7=`v-PnEqgdKKAjZ#9(^09yjUlNQ?<_;xf@bqk$
z52s_PGSN1wSL>dUE`@+YV)&8c&0kE|*dKCVa&6j;z-YqZF{(Q=J`hUz3257Tl*P;h
zPVOuVe@jSywBUiV>9moqpK@-)sAa#DJygxoj>y03%1zrTcUl_>FQ!$7H?j!-qkVg(
zp46^wW}?z1h!nWyMw$CV?CExaSEWoUZ5ADpWUZwarXou0I{rl^OTPA`rLK63<5Uzz
z>}W%@6k*g@tSN$CZ3|-hJ1*DIb;Jt$uMG%wvEOB)RF|3jrDBvaf|IMnNRJjn;gG9a
z_k%DpIpCSHxof@|glK9ad1f@O-hN`cZ8)S6J67-0+pKSXhpTd{wxnXVlNHAN#)kXZ
z1UH^h4lhFzu6X)w?9+EF5>~m>VVcOnT&QCiV&HGLeZN2dS?V<Z?L_k48?uzv>5{G9
zcB1RKQ(si$WuW75Y<mK}FcdO>TCWBYh(;e1(_W_-voymRQ*J>$|McOcz{qr=+N&R5
zy*|<x91c;i?+Nr#f3X#PVny3IE=BZ)SQX)d9Xe<nWrLgG)1#LJV*ma$rnT$zcxK9i
zHI4=KD(QL~m@y93)52b<{XtQa@{P%i-Bcz~M_4cQH11f+Dd%#EGN9H-6Ywz)2<b-*
zs`TY9(<ck`-O(iZJ-p^V-ApN1+Lfq%XH|J$ANvMcPMXs7ce>E1J{3K>Z-c_8hk8F_
zQD&k$!`CC~hS=68FLyn%nHP6h8chFu*jF_N+gJAm1RWJG`O9Z)Uul0ignR35<Tq28
zCFh%!-oi$O%&aB3DSq`lRLsPey&^B}e3Efa;gYTQ<C`fud>kh=(>}S?C(Fy$B@>Dz
zGJ`5g+N%$>pQpmq_gEEh?hCwXx=$GyoJJasBd{|^+=M9|$hmZHv^Z>>$^47F{`~MY
z)Oz>jkghJ%Z)Em^I@lO!Ip|@M{ZpQg;i9au57}uLG)tiUWM~vsoo}LDJuGGea`=b7
z+#k4{K*>N2OG#!k+b7>DsA)CJc{IUjjB42u5*_Cy!2i^b!40~`K-ExG^NaUMa(n9*
zT29~_O;opcUqpInqBYPfHJTw^4Gs0Oo7we>uZ_2XqmlxHlH8~7#P*?J+%zj8zgbFr
zXKmOXPhufMn#7OLO7x+cgvda~fp16b#qb}qRYC}mADCk^i|lT=gLewuWk$=1_(HL;
z`iiEvaJXCIpDBZM$W7_rqo#@*5LI9lp9n62n0;jV4`Ni$>gd%pc0;Z<R8cygVPX4}
zmf;<u3BvB}HBGajtufmRqHobwFc#foZ}JQX#Ie*)WD-rsiGY5kd08+SKVbdZLgMpO
zYz(|VYdMlJx#{((0b>o8hZm)A&|M#9<M<Hb>}WWX`I()P^g0N1=TtxM^^UcNQ0P8$
zhrP@Tk8L_gV!zYF=mhm^kd<LEtA3G80eO9t9z&Ae`@?mh;NrLpCCpb^4C>wY58tZT
zl;A4$mHj|R_0723#ydf?77cG|$xIi0Df1Q&!e&_If^__qq)rrFZaKJ)zU4mro|5M@
zKUuM2hLJoa__pRrq1L^}GQR113M-}g9^KfUh9c6}NyG^j;w&{0OC0tcmkj#xHY8*e
zq>5VVMTTnqw&#jLxKPtk;m!aF8(FfV*U#WAO=r>Rt}v?UzRqnSL96P__z~nDu<j9y
zMhxR$%4*2V+<9-k)78N{MQZ6nNSn?mMbbj>W4D)D<NV}c2t*}`MR$yo13{RNYn@r9
zUp_r1HpWDWn!NT}#QyBZ?)dY|iN?u?qpp?(d$|cTe4vu>AMx0K@rV-31M<zWB-aj)
zQY^Jnj!-4nS(bGfxLh9^2!d&vu&$Bv$b^Ku@V_#?B!pe|vA%G<`!HuOqb>-hK2ntB
z$giJdFKgfZY8ZxgrIu4%7rI7a%(nq@iz%+CC!v&BW_RC`BzLL$zcaYd`<telEB0;h
z_FdzI)A1&@Y{vFGZy&wAOawI`eIVM&hghlto)o1eMMeE5#~`~}7IXI_jYB^_!|>hP
z5~mujB-t1y+1@o{79rzmAPIF4Pa#Sd&gZqN-gZwiM8t+Gtnl^fQ1-wZwi}}HaM9%b
zWHm1AH^xgfD1_nmqP0ia?(MwvO7X91MTKx*34Og&R1;K{Iz1tYK3=9jAhFj+Ukn>a
z+af7rgvE3gs-%DmLBa;avA6i4WXi$72fgze1ovF45B9H!6THxV`rvr|c|t|2RqusT
ze_I#r8kO7JsFG}oNFjJRhgjvR%6#&!(m6+(FX+b(g??HXJX^?>&G7Zz4^@w(|44@n
zHDg?uw^*OZtD$mEmPe2K^ed6Eu&F4!e%W%!6;_KcS%S{X2AV|qAZMIoBQUCRUiU$Y
z->g9@aDScRW-<447|O&eu>lrehkZ-VONKF#Us1eSUoD*WxfT}d2vWcx84ydM_xuYU
z+CvOnK4h>(KB4-Ajl}Tj*TRtVgNcD>K`p+UU)Z!QHKowL8UOmRl(3R#p8e+HbS||z
z+TJ>+fzB!tzVFg`ZQf;I;NJ2#H4as?k0Qe(jVBGjaf?n2<RG7!eW5q7LxoC?pZL<T
zK=I}iEBa1NDw1u2$ybgk1knCu#-SHF&zC2io~#oraG+GR&DJ}otH-@h<0PMr)sbK<
z{5h(|t>XDPmb;zwE&E9{HNpB^TZ@bQ*YV11LBzBIVm$QOBNj9%C9Cdm>{=JoIy((x
zFK)BfFF%+r=bo6wzYCx%H>^&>PP&<Nm(~YwuLH2`4GYrBOUA2@zKf@H)_9l-ujGwj
zdxrHoz7s^#5%B)G)fNy#S4}KVpaEUw%y=m<U2Q4t1)}MD<Edu7TPj*Mc5j2fvUSPP
zXyr-N;xhVeeKrtKSDC%a|AOdIXbBbw?FX+>Nf_}p#a#DXb}4(`9f7m*nP41vw_j}l
zj}}F*H^oz8XTQr_q`=M2H1nJFK^6ugHw@*kXpKB(KbZ?Tb@kd`*ZK5R9@Fqvi~GFP
z)blp4wc*zTOAORv3}pF>-9tWu%A(&Q<k5`CpVIfTeb&)>w<HPNm(S%CW1!Sxs#|3y
zdOQO{c^3?jDn8tv=RTULyOA=s89+fcFxvtO46*v0T6u=hBZvW~9^p$O)Mw!o(Tc-2
zmWPwA*p_QM?FmGw<EM*eLA<P*@z|3xcDv-Rq1fG@%7u7gwj^8&BC^WTIX|8|ULn3Z
z$IP%8$?y=~M3iuENc0EejjmXbg==uJUg*rw4p__eyCzO_gVTgzqFnB$p+!JZrnp}f
zLvbQ!0HU<yYK>Ad@Pv($4PQHczyKAKuB&Aa=@N|~9-%aTIiS2ko&~Z$nd6nFn2#0~
zwWoyx_H4<X&ww0;twp6t{hJ5D6%A&+Y?|_@So8+aC_NGD=ueS66mz`%d_o@$D~xm`
z)ROC!-<URe7Wvl`(9CiFO0Y$>PdR^xFU2y)R<bSu3O;u{_PhC4=IwLtMkapp`XFh)
zw>snu9C^nr5O?cj*5}a5N0N3Aq4et)F6NzpBo3@tGndWpW5}=bqvF5=L}br(nmbH4
zIHVWG==|q8e*J7oz4Ek{nRqXp=3^8d8KP7d8Pe0`iT$F!HePMX9j<|<lF0|-dwV!{
zZ~IA0td{6X>b1h3pR}Yi?S`^4=R;04#IVKG^QC4vj9$u2N2=$De2gRIl@rruur{3m
z;fT8iS|P|4-=8;mN@qoareH_8XM-bX!)lXDow9MbHOs!lw|Ttq5Py`JUBNJgwJDzP
z_AO@`0wqo5^J(X5lF`0=>5j!fkt(MM2<=B?#Q-aH6VLwynM()U$`knc0Edf!2=@Rk
zS{hBfx%wfW`}S(M_%-}vS;S|B+a*8t2Do8FXuGv`VM+sgs5i4lRN8-@Y^bZ`hRY1Y
z7479_NW)>_70PYiUq_+Rws>Klaa*7+67G?^(;|;Z_1bD$d;ew$<gwCv$THr@R4jJi
z!okG*?EOi@b3I|Hl(@MGQC802*;V*}z~F^zU!Luk9bkUc9Hh#>`FhAjaku}V%M9jd
za|21;!2(qlGy|H>(sU8dfpqSh!A4xRrHNWGM2r<9yn5JN1Kl-W(3S4aOAONnVQ5X!
zHN^*%IfBe*G^yCIiw5N=Q_h1DypKtOAIz&02Z6AS&R~Qs^~={LN-#WJu&#~3tCmQG
z8~ZK%kYzTz7ABuTz+I?GmSY$0K}iEk)ah&64x%S80uetS<H1b}e_08e@I+~tNVDP|
zd`h}6F0P(192+%1maBPP1Zq#z4ME``;G<d_%4WWePr?N8wsMn}vy7gh^<lzq#a!f9
zxypQ?C4COxM~n@8o2-#%!ZB+gP{{}ynG*Rl{}0`;qDE72rB#g*h*>2H04m^g61DFB
zES#4(*XVFL+mz?7YOV_AlHU_HeWD^w^@C+LkQKN!w_mfZZW#`zuPl{EglE#4F<}t!
z6fR-SvEAFn(x^76XFEUSVS=ELXd-gdUj=-(6CIo*Tti4B3a;5>^fvRs7KY@CHA(YN
z?Nt^AIL?Nf)`2B;3!GBFZG;i(FRwy*N78?%Aa!UD6@tK0gRINtF6N1?@P22YNO=;<
zN_gdv<>#98FBN7VyNZP?AM4&El9h_D>`^fjgxzPb-s{8<V~`>TRWc0r7kH0C&#@LL
z_^9~aiRV8i7k;12p?M=f*#mt(DEh@0QDR=aUx_bn{tPPwMP9avtZuU5C|7?D*IJH&
zaI`P0<Www{?XBmXl%IGeY7%`-3^r<~lEfC4SeJ6;py~t^v?`rVc-MPgzKd6&^O@_#
zahq>%lfY!<rA0A{PUXvSagTzl>^u)){up16D>t2)B$k3j^nrkgJcDLuo}q|R%v<>x
z2A1uRm`GuKiRNCemkH6L9~~-zzeuUD<LI0H%^Be~y!|y#l3^6ACw0SOYSWP;P0_aq
zusg+jas0w#6x)N28LoCU2r!A~$c4Y$(ln4rA+&py6yAqP)q>m2kjN7L=%R>PL)R(N
zZ}iTM0hzuaBk!NN%Iu!T6*C-3EE!MT5`B@qAUz`Ecb&qZV81Ov-B_}fC>Dy2K{k;{
zsc_thj*r!!Vw*-%S|>DoOV~m{IP}?a1PTh#Pb3xqPVgvlkmh)Rt3`c$l|D&qrM5V}
zaVSeHg&>X;Vg5;5?x>=4sd5RHaxE%;5ThS^K^x`SwM4u+zVSm^AG^?H?1Gz5X(e1*
zZN&6MO8L92#3?snL;1lmgIvZf2@Fs30)Oy>Wayl9p6G{9noRiX@tR2rk_S0w4EvOz
zVyg`~i<QxHMi@uTQ$jJ(>{JP8>sb39*Lx9t$x%NVl<?^z{Xl{L<iMft)6`5~AP>wV
zK7aw*tH#XxI4(fKfQg7e$ofn>4BiwPN`Tw%!|*EUd{_ZO$Gmv$fvsovSe^g+s|Zfg
ziu{zx$PyJO?Z!z`?R=*8OY%^!q)dv1QhT2&_g96QraQ|jVhqOdg3K@b%UsNLkGAo3
z1uxMA%viSB=Xoh|u0fbkX5OKO?19!ds&(^i3Wfs)$f9$n6vUGfhrfgn8vjabR_cjY
zu?}0Z*eSf9mnOXv<D-Hoc}0O35;u@Y*yrQY;dQIu<l8;G+Lx9&!I7ojc)X_QDm05$
z)c+KBIs#iTqZ*#t5<$jDrGu=S2V4DP$tSk^6P2bDkL=h>O|3EX<pAN(;$*69))Gn<
zhwkDvslFtzGR4rz$jRy7zCxsmuqY^lu_5c|JJOJ4DIZPGB@Un3di@7sC?z{JX;N;V
zMVxOH7P>uV)guI40Kf)0gv;YEA`%UGr66u@Sg*+)5v_O^X~0@KV|8Ur7A*H5E;LcB
zB)JAN`;)&OnCEo2#@?W0h_Sgy6%ljWY(p0y67=L{lyh$b#DOfH`Q3O24MCa*a0|EK
zrE#%rx$TAWLaIWGVpknNHgZB`W*;uX#c)A4ecfGQGz!ZB-o~V=PZ|arsqmDD*70(%
zrP2p7Vx^y~xOBfx*O!}_RDaQeAaB}|RhXZy8J|f>Vcs=(y(ZYcG9!d9QS9aune~Rx
zh$pI%9_5v0_#&Wc-qbZD1e}N=y0QeIM-bewYlWIieQB#`#1g(F_h~yLL_dpuaKj*1
zRGGb9{z4N8J79o-dcdvT#|{*wPP(h!i84peIKNpf<oRypH|nRtUF+izMPP5TvNRy3
z5!2hk0B*ON_B7cKUyth?exqI*Rh7>Q-O6El+(^1!MaxVUdtA54mso(Zr6?}aGLN6W
z$5MLFI+#=U0>kl(mLLfpP-xQ|U;H}~e3V&)HR(^`!tf#$&bg^jmWJFpMi_@mt^tTQ
zra3HHCvyT;Gs7IcwQqI%)Piz@u=Lr^L+-4?!Yv&B(qwRm1sg~$qtCSOs0wrDLrnZz
z@l^UX=&13blAEtS4T1vaH*J=yoT>2VC@R!QW+>9&L7veapkv}?i1{G;in!T)X|$U>
zVRbH3e7XfPsN&Zj$>A^_u*i%mU7#$Y(ZgOS=k7JRw^?;PK%#hrK%FS|xoWT=733em
z+M|46z_rGq<|IHz60j6B5CU6$N%V3o{Px4}mWdQA*W@o*!tPwe?9z{to2e^{#n^$k
z<`YE6z;h$V{)o9koXV?xas?cd!J+L3M~l>gXYc^rC+iaKlTVXK4=r&86~~tF&;tYE
zZO)-eXC$PkCkp?loe$qx8+t@w#%XdvY#XfQ47hAUxyk9#wma~xU?8Vl7}^}y2_h(U
zP%9k_MMYN!WlD1{$=$cCrOZ@bl{#P`6esMpGUbZ~m#I6qgxy@4y}#07j=gyOu(Lq+
z;o$4LOUv)-LG`6c*CAOAz-($!Uj-srFM)P9rTHNNmH3f=0vZ210f!Nqoz8%<PEoJb
z3{$tJx1WQ)4<$DeFz7(>lLhNJ0o$zT(W;Wf9s_UopTW=|C|bGLWLLst>QG)E`hrRh
zA1|9}L&cN8ch6Hb3gfxhx^B~Oa&k`M!pB+BGHDjrz)h-^!P5om<kRp9W8Lx3I5)W}
z7L;VHKIBPy($68r%3*SF;E;FTfsvPP6i`oA*|{K`yA+L0?dZ|+5}QAPuqWzjX-eCW
zUlN_7%NrV2vCX+QQywzukk+pg)%i`QTP-Qil<3&&FY<i~(=_@B=xOnzqWauLEPqvm
zCJeag{6Or|)VBaos6VN$lnrb_00h?p6}d-WKlSdff24;MfCvzz3sb+MV7t7S77nv=
z);FL{B!K#vNces;`u?81nv{z^>~o9XHkWm6!NAAoN)dg>9&oPBEqJN!NOrK<=|w2Z
zxFRNpcB|r01EtR-;t3W*Dx4BxP+>&7ECqXi{nJZp`A=o~?4N+UDMNTB{p*Z=Gg~5{
z78!9keky*P7*OvtR`CrhM*ICmAWIY$TsHRfP(v`*`5q-CSq|}Zr{nx^=Ie5A(`w>9
zP&y3CG;0JkYX0C8Z^sXq)Io_-#*Q-$m4~lwur8x?U%Vqi?bGIj(zJDaNU|p4DGvZW
zX-Leh45SbIs<P~8zkq|Orm|R5KAUND7sk24k@x`=30K;W0b_77`DJzbqeCweQx4L1
zsZr~zPcxiie#&&RLGdHvI4uZ@<g*wiR{B$V^(svS&vk3=ybXWa>bq$&<@+voFNj(y
zXp+OYmLYhw3sMN;ckEBS2_#d<q;4#=t7FTsljRI&;YmP5Xni5o+yXASP&6j~Q?U!b
z%0$rGJs!GZV$^<|%4KdMu?BWUeMGCneTJ^$KHIEcCAc!|xz;1p8bi#Sb(Msz&ldPs
zr=SoZ49<4+o-2%F;(~@~j^7xBRX4M3(H#y{<U556^T^~rZ@0V6iizH*A_5pZH$f16
zt=wG>-hF#B`)%w^YNh=Pgx}Hj2OcC258&^bDwseJt-=r0W^1^Rl7h*JV&50RuC<Yf
zWMxQ@1|kNcy77n_^&;gHLv74SO94oA7^9~sqavx#nIG;ubCJm=QYZYuHr5^{TqDGT
zhNg;`79@(iq%OlC3aehyv~WaRrN&TbXmYb}bU3ZmMMe^vU*@WQ;h_etjkE3(cs)J?
z=H)sn@q!P`%cq4W568w8Z_7yfY*J#&cU}sPUFh{P<;`rlcjLunB~`&RqL=cZ=2=1b
z&19^-tD(9<6AVDVL36prjSMCawim(Z_E1;tR4j)dlBxy!H9rV1b>c_T7*RJ6Bd2_2
zeMl-?cWh6^q46?V*>ydv8oEjDPwb3NPg77>WlnGXd!_DciE<>R!Mc5u)9`CpETzs-
z%A{x)sjOrk^g?Y#r}^uA4MO@V=BF~A1efb98_`eJmjyp`wRAPNg}`+u=8||IK&#r|
zD*)of&uQ|CCtz=x*U`}t3C3InVV-bx`$^env<%|KviTaD-dk?O-lijdAe-p<*5frY
zLX|k2w6XhCtl^ovD>z|hgK>@2N)uqN0=ySG!$38d*Y0R*wip2JicK5cigkg{+^9qq
z@a7CmZ3nCZ*&|Nl+QLjB*Q~{N3e|7aP6LbT(#o-3hXMYOvpA9IAUU*A#Fc3K>*x6p
zfb!A5_9$`($Vhb%;e|_h(e=|D)H_dPA$?iz_PzJ)Lt*Hc>cD1d0KDVS_YczCDX9SQ
znT>=RA#G!otQ{Zv$M2PedBkcP;*Vs40Nr|{^4lrV(JY7@U*D>;{~+}Emf)iox#`W}
zDPpRvhttk-A^E|Fna5zVA#=Z3*v^CFBYi`2*c?E^rAXfo+4XmCJ22q)+cHA}N%>tS
zd2~BMf<fKnEO>jaZ53cIc!3$JBiO8k4ZMlHfAY0tNb#n*ZTtD5>24P70`hVI<cW!z
z1$WE-Nr`5z(@qv3y3_8P9?1iMJ{-74DF){-Zx*2J6?7iY08wUF9EB(p!3iylCX?{@
zIGLXhJ~FSf>BaK`u{%KL?aYiQk)SpbXhZ#QR5+PUA*~FfJMV!(b^$Ru_ihGALV4x5
zSs;is5d<C}2dNH{e?tJr;0|yX%(ne+=z%86A=>U834tUhKcHM20p}bS1p8P%nLu#S
zFWMhKE>;2DKq%n*s$jZBV5#F=Yf~$-K97@GWzjb6GTS@`Y?VIZX&iHY(CA>6pc)g2
zRd*q(WTpa-;|txA;kzJ)CSlVfXme}bz3tV{n4XcMDaJ}UppwFr39_<NKrnh<xy~3M
z&<&N~x*raipW?HiRnZp|Ziy9|STS52NQ`z^eCu@&g{Y@Obg^Ye2wC5(nz`Hr{No0I
z*%s@SLhV3uQEoE4=J>w4M9A5$5;B+O)q^XHC3}NKyYt(0{XmZAd)CoHY+@#5mTVr8
zd_wx$(T2g}#`gWfR1zEG{>RElFiaw?{NSH330;6%dKiVfTV+!JUa#ChqkGlR>~2Ks
zcet)rCa{b4&BgH{sl5<e0C`?T=2{Z+Pm(~wqPul}RBaVxc%GbvA$<Xf9}5qm%!Qg$
z>Sl6RvN=p%DNn$CUT8xkWMouk(Y5RQ1_^hPmHEqe<M@XO9w_WMQF?BVm8bjXBqrV@
z+5!a~X0!8ebsw?-GE2pqE?l$kEXQj&>DRj+x9L}<1YC1ouVv;EX=ww9Mro#xzptsS
zw*tH}8C8_>@qHxvq#~BS!jG6U6yCK`UfrHNBGLUO3`@o?#`EbF_qo<7iQPBEM66bF
zgj|*($3+U)h9!^8jGeT#W@G1yK#*Y!SWzX(V2vf<GO69&-haI>hd?+l=$UfvA(d2+
zQR@T=yMb~tS@*O+3a-RHfaPXqyEXUc1nu?P0btmd8u~;(;BzrbFRY|n3jF~wXbm|(
z@m5wDwt3dMj7s!tt7SW$9waKuV@otADUnb*hC2kBh;^^IfHiC#@$O`d%~1HpSUIyA
zgacP(5BN=e;V>Y~s)+t?>n48h=?V(-YK!qhdU_;%Ow>uKv?%#Bu9t$G-F$6jx%+&3
z^5na;YTyv|8SqLtbR*W^P77=-o#7_<gIw%t!;Bk0xUX-H`Zc^d_%@|0w@AR&f7kyw
zyv=?%$5G7p8_WHNg&=r7__9)088>(a9F8m;?$#X<=&zj~{30_Z83K_cG$uORo|I^%
zDzufvE0(2D#yYPxP2)WlgNh6e;uj@UXY&~iBT~TPZ`Q>)Eu*15bw=Q2){SpOr>mic
z&zm;5uo7d2_oF+H*w%vdf<i-cO?=4Cg6ys*t&iMypwX!?)Y|vhu$$Z#pId)?iH*ck
zayUHA1BGDn5-KJx+oo!>Cg@?OF6IaM<|O6w1nHlNF(@%U1U%c^MlWeT?I5w(4E=Zs
z`G+s(Lq-Z@iRMbo&$2lJB#r<mSGA?TlX(>AoSf1)-Sse1LTzXQAy4pUYOKWYcP2ua
zb5Cvau%Jhna$V!211hF3lRk|fQvz^ohpG0#hwG>f?lln{$pG;CE&ll-ZbNXrPZF2`
zTsX-{6tGKO`Nb`io7{W|q7ig}N5yQBfAL2fxYi?1LX!ipl9^^_-E|R9>p~1+Q(S#T
zXT=LTo4Qck)YCm}MtOE)Q4Qj)F`I6uTeJjV(&zq!uTF#Ot7i{&He2O^E{VI;+r|=(
z$j;wcdR>q;J#mGg9?KF)#+F)L>F6$9!NZVNtm*Ui=?S;f7rt|}-~(lYN$p#(N%xw&
zX4)E?8)(rc;oM;FM@3V5U;V*U(iV`-5X(*H#$Y}1ZD3}P@Ju<U?f^V=<D>}Ji{e8c
zR0YoNba1nrj=Ge2w<6EW{lK@Q`mlaRsw~$Je7F}?ndb7Z=SYPII|}KGS%9e$ZpyaI
z8=g+PQjZOb0|9C4F;HtDMWx*56pF_wD-AYB(TUw*1P)HSKsFmCHy}xGY{BeydGKaK
zg3}r$_%LT(&S;9nPv0Q#y)p)G=L&tH_=5;A$TCagN&HPP)so`K*3nqI?~GFYcRcW6
z`{h_N=WT#_jeWfIz{$z-rVN}eC<ffb+(X5xy|G}bT{?%OQzy%o&F9krQQ(8$q*MP5
zdVpbl`|hr+V0|?XjT2$J0-*YT06R$c^&dQzF)=ZDN&ccz7s4mI@C(IAj=@F>0r3O>
Q$OA=1QB$Ex&g#K`0~3AG8~^|S

literal 0
HcmV?d00001


From 30e6265fee131763ae92e7982c5e0aed5b04793c Mon Sep 17 00:00:00 2001
From: LecygneNoir <git@lecygnenoir.info>
Date: Thu, 11 May 2023 16:10:27 +0200
Subject: [PATCH 2/2] Nouvel article sur haproxy et ssh

---
 content/2023/ssh_over_haproxy.rst         | 153 --------
 content/2024/ssh_over_haproxy.rst         | 403 ++++++++++++++++++++++
 content/_drafts/fairphone-2-et-open-os.md |  12 -
 3 files changed, 403 insertions(+), 165 deletions(-)
 delete mode 100644 content/2023/ssh_over_haproxy.rst
 create mode 100644 content/2024/ssh_over_haproxy.rst
 delete mode 100644 content/_drafts/fairphone-2-et-open-os.md

diff --git a/content/2023/ssh_over_haproxy.rst b/content/2023/ssh_over_haproxy.rst
deleted file mode 100644
index 23bdaa6..0000000
--- a/content/2023/ssh_over_haproxy.rst
+++ /dev/null
@@ -1,153 +0,0 @@
-SSH over Openssl over Haproxy
-###############################
-:subtitle: \- contourner les blocages
-:date: 2023-06-20 10:22
-:authors: Victor
-:slug: ssh-openssl-haproxy
-:category: Réseaux
-:tags: ssh, astuces, openssl, haproxy
-:keywords: ssh, astuces, openssl, haproxy
-:status: published
-:summary: contourner les blocages
-
-.. contents::
-
-Contexte
-=======================
-
-Parfois, en entreprise ou dans les hôtels, des règles de sécurité sont mises en place pour empêcher les employés de sortir sur d'autres ports que l'http⋅s (ports 80 et 443)
-
-Selon l'intelligence du matériel utilisé, il sera capable de détecter si le flux est de l'http, du ssh, ou un autre protocole interdit et en conséquence, contourner ce genre de protection peut s'avérer complexe.
-
-Bien entendu, jamais je ne conseillerai de contourner les protections mises en place par votre entreprise 😇   
-Par contre, rien n'empêche de donner un coup de main à votre SI en pointant les failles du système qu'une personne mal intentionnée pourrait utiliser.
-
-Je vous invite à consulter votre charte informatique quand aux éventuelles conséquences, mais sachez que **si protection il y a, vous devez légalement en être informé par écrit**.
-
-Cela étant posé, je vais ici vous proposer d'utiliser Haproxy pour passer outre 2 types de protections :
-
-1. Un blocage des ports autres que 80/443 sans vérification du type de protocole
-2. Un blocage des ports autres que 80/443, avec vérification du type de protocole
-
-L'objectif sera de faire passer **un flux ssh** sur le port 443 (étape 1), puis de **l'encapsuler dans du SSL** (étape 2).
-
-Je partirai du principe que vous avez un serveur avec Haproxy installé et fonctionnel, par exemple pour servir vos sites habituels.
-
-**Disclaimer 1 :** Cette technique vous permettra d'utiliser toutes les fonctionnalités de SSH. J'écris cet article depuis le boulot en committant via un tunnel SSH sur openssl vers mon repo git. Toujours dans l'optique d'entretenir la forme de l'équipe sécurité bien sûr. 🤫 
-
-**Disclaimer 2 :** Retrouvez à la fin de l'article les configurations complètes si vous êtes pressés ^^
-
-PS: Dans le cas où le filtrage se ferait avec un système de `Deep Packet Inspection
-<https://fr.wikipedia.org/wiki/Deep_packet_inspection>`_ qui désencapsule les flux SSL pour les analyser, cela ne fonctionnera pas. Mais si vous avez une protection de ce genre, ça sous-entends que l'entreprise peut (et le fait) voir absolument tout ce que vous faites en https, que ça soit les mots de passe de votre banque ou les messages privés envoyés sur votre discord. Je vous invite à insulter votre DSI (Avec virulence) puis à changer de boite 😄 
-
-Étape 1 : SSH sur 443
-=====================
-
-La première étape va consister à assez simplement faire passer votre flux SSH sur le port 443. Si vous rencontrez un simple pare-feu qui bloque tous les ports sauf le 443, cela permettra de contourner le blocage sans problème.
-
-Côté serveur on pourrait simplement faire écouter sshd sur ce port, ou utiliser iptables pour NATer le port 443 vers le port 22 de votre serveur **mais** c'est moins fun, et puis si vous avez déjà des sites web votre port 443 est déjà utilisé.
-
-C'est là qu'Haproxy va intervenir car il est capable de détecter si le flux entrant est du SSH ou de l'http !  
-Cette étape est assez simple, on va demander à Haproxy de rediriger le flux http (plus précisément, ssl) vers votre frontend habituel, et le flux ssh **vers un serveur particulier**. On verra ensuite une technique pour dire à Haproxy quel serveur ssh on souhaite joindre 😄 
-
-.. figure:: {static}/images/ssh-openssl-haproxy/ssh_simple.png
-    :width: 500px
-    :alt: Description de l'objectif à atteindre : Un frontend Public 443 redistribue les flux vers un backend SSH et un backend SSL, ce dernier renvoyant ensuite vers le fronted HTTP SSL habituel
-
-    Première étape : séparer SSH et SSL
-
-Frontend TCP SSL/SSH
---------------------
-
-Tout d'abord on va modifier votre frontend qui écoute sur le port 443. En toute logique, il devrait écouter sur l'adresse IP exposée vers l'extérieur, mais on va lui dire d'écouter plutôt sur l'adresse localhost, afin de créer ensuite un nouveau frontend qui s'occupera des accès entrants.  
-
-Modifiez donc votre frontend existant :
-
-.. code-block:: bash
-
-    frontend ft_tcpssl
-        # Local frontend
-        bind 127.0.0.1:1443 ssl crt /etc/your/certs accept-proxy
-
-Modifiez bien sûr le chemin ``/etc/your/certs`` par votre répertoire habituel pour stocker vos certificats.
-
-L'option `accept-proxy
-<http://docs.haproxy.org/2.4/configuration.html#5.1-accept-proxy>`_ indique de n'accepter que les connexions de type PROXY, ce qui sera le cas via notre chaine de frontend/backend Haproxy et assure de garder un maximum d'information sur la connexion d'origine.
-
-Ensuite, on va configurer un nouveau frontend qui se chargera de recevoir le flux sur 443 et de filtrer le flux chiffré en SSL (typiquement de l'https) de celui chiffré via SSH
-
-Pour cela :
-
-.. code-block:: bash
-
-    frontend 443-in
-        bind YOUR_IP:443
-        mode tcp # On est bien sûr en TCP ici et pas encore en http
-
-        # On verifie les types de trafics parmi tcp over ssl, http et SSH
-        tcp-request inspect-delay 5s # Une connexion ssh peut être longuette à s'étblir, on prends le temps d'inspecter le flux
-        acl trafic_ssl       req.ssl_ver    gt 0
-        acl trafic_ssh_raw req.payload(0,7) -m str SSH-2.0
-
-Ici on définit **deux ACLs** : 
- - L'acl ``trafic_ssl`` se base simplement sur le fait que le flux est chiffré avec ssl
- - l'acl ``trafic_ssh_raw`` quand à elle, vérifie les 7 premiers bits de payload de la connexion TCP, qui contiennent ``SSH-2.0`` dans le cas d'une transaction SSH !
-
- Sur la base de ces ACL, on peut facilement rediriger vers les backends qui vont bien
-
-.. code-block:: bash
-
-    # Si SSL on envoie au backend TCP pour dechiffrement
-    use_backend bk_tcpssl if trafic_ssl
-    # Si ssh direct on envoie au backend ssh
-    use_backend bk_ssh if trafic_ssh_raw
-
-Backends SSL et SSH
--------------------
-
-On va pouvoir établir les backends :
-
-.. code-block:: bash
-
-    backend bk_tcpssl
-        mode tcp
-        timeout server 2h
-        server ft_tcpssl 127.0.0.1:1443 send-proxy
-
-    backend bk_ssh
-        mode tcp
-        timeout server 2h
-
-        server ssh SSH_IP_SERVER:22
-
-On retrouve ici le frontend ``ft_tcpssl``, votre frontend habituel qui gère l'https, avec le mot clef ``send-proxy`` pour transmettre le flux sur localhost en mode PROXY.
-
-Le bk_ssh quand à lui reste très simple, vous indiquez l'adresse IP du serveur sur lequel vous souhaitez vous connecter en ssh comme cible du backend.
-(Rappel, on verra ensuite comment se connecter à plusieurs serveurs ssh sans devoir en indiquer un en dur 😜 )
-
-Cette première configuration est assez simple, et vous permettra simplement en lançant une connexion SSH sur le port 443 de vous retrouver sur votre serveur habituel.
-
-Les connexions pourront se faire par clef ou par mot de passe, de la manière dont vous fonctionnez en général !
-
-.. code-block:: bash
-
-    ssh -p 443 YOUR_IP
-
-
-Étape 2 : SSH sur SSL
-=====================
-
-Dans cette 2eme étape, on va ajouter une brique qui permettra d'injecter un flux SSH dans une connexion chiffrée avec SSL.
-
-Bien que techniquement plus complexe à utiliser et à configurer, on ajoute ici 2 gros avantages.
-
-1. Le fait qu'un pare-feu intelligent capable de faire la différence entre https et ssh sera par contre incapable de bloquer ce nouveau flux, qu'il ne pourra que considérer comme de l'https
-2. La possibilité d'utiliser l'en-tête SNI des connexions SSL pour choisir dynamiquement la cible de notre connexion SSH
-
-On garde la configuration précédente, mais on va ajouter une nouvelle vérification de flux **une fois le SSL déchiffré**, pour voir si on à affaire à de l'http ou du SSH !
-
-.. figure:: {static}/images/ssh-openssl-haproxy/ssh_over_ssl.png
-    :width: 700px
-    :alt: Description de l'objectif à atteindre : Un frontend Public 443 redistribue les flux vers un backend SSH et un backend SSL, ce dernier renvoyant ensuite vers un nouveau frontend SSL. Ce nouveau frontend va se charger de déchiffrer le flux SSL, puis de rediriger le flux final vers le frontend HTTP habituel ou vers le serveur SSH demandé.
-
-    Deuxième étape : Séparer SSH et HTTP depuis le flux SSL
diff --git a/content/2024/ssh_over_haproxy.rst b/content/2024/ssh_over_haproxy.rst
new file mode 100644
index 0000000..e2af09c
--- /dev/null
+++ b/content/2024/ssh_over_haproxy.rst
@@ -0,0 +1,403 @@
+SSH over Openssl over Haproxy
+###############################
+:subtitle: \- contourner les blocages
+:date: 2024-02-23 10:22
+:authors: Victor
+:slug: ssh-openssl-haproxy
+:category: Réseaux
+:tags: ssh, astuces, openssl, haproxy
+:keywords: ssh, astuces, openssl, haproxy
+:status: draft
+:summary: contourner les blocages
+
+.. contents::
+
+Contexte
+=======================
+
+Parfois, en entreprise ou dans les hôtels, des règles de sécurité sont mises en place pour empêcher les employés de sortir sur d'autres ports que l'http⋅s (ports 80 et 443)
+
+Selon l'intelligence du matériel utilisé, il sera capable de détecter si le flux est de l'http, du ssh, ou un autre protocole interdit et en conséquence, contourner ce genre de protection peut s'avérer complexe.
+
+Bien entendu, jamais je ne conseillerai de contourner les protections mises en place par votre entreprise 😇   
+Par contre, rien n'empêche de donner un coup de main à votre SI en pointant les failles du système qu'une personne mal intentionnée pourrait utiliser.
+
+Je vous invite à consulter votre charte informatique quand aux éventuelles conséquences, mais sachez que **si protection il y a, vous devez légalement en être informé par écrit**.
+
+Cela étant posé, je vais ici vous proposer d'utiliser Haproxy pour passer outre 2 types de protections :
+
+1. Un blocage des ports autres que 80/443 sans vérification du type de protocole
+2. Un blocage des ports autres que 80/443, avec vérification du type de protocole
+
+L'objectif sera de faire passer **un flux ssh** sur le port 443 (étape 1), puis de **l'encapsuler dans du SSL** (étape 2).
+
+Je partirai du principe que vous avez un serveur avec Haproxy installé et fonctionnel, par exemple pour servir vos sites habituels.
+
+**Disclaimer 1 :** Cette technique vous permettra d'utiliser toutes les fonctionnalités de SSH. J'écris cet article depuis le boulot en committant via un tunnel SSH sur openssl vers mon repo git. Toujours dans l'optique d'entretenir la forme de l'équipe sécurité bien sûr. 🤫 
+
+**Disclaimer 2 :** Retrouvez à la fin de l'article les configurations complètes si vous êtes pressés ^^
+
+PS: Dans le cas où le filtrage se ferait avec un système de `Deep Packet Inspection
+<https://fr.wikipedia.org/wiki/Deep_packet_inspection>`_ qui désencapsule les flux SSL pour les analyser, cela ne fonctionnera pas. Mais si vous avez une protection de ce genre, ça sous-entends que l'entreprise peut (et le fait) voir absolument tout ce que vous faites en https, que ça soit les mots de passe de votre banque ou les messages privés envoyés sur votre discord. Je vous invite à insulter votre DSI (Avec virulence) puis à changer de boite 😄 
+
+Étape 1 : SSH sur 443
+=====================
+
+La première étape va consister à assez simplement faire passer votre flux SSH sur le port 443. Si vous rencontrez un simple pare-feu qui bloque tous les ports sauf le 443, cela permettra de contourner le blocage sans problème.
+
+Côté serveur on pourrait simplement faire écouter sshd sur ce port, ou utiliser iptables pour NATer le port 443 vers le port 22 de votre serveur **mais** c'est moins fun, et puis si vous avez déjà des sites web votre port 443 est déjà utilisé.
+
+C'est là qu'Haproxy va intervenir car il est capable de détecter si le flux entrant est du SSH ou de l'http !  
+Cette étape est assez simple, on va demander à Haproxy de rediriger le flux http (plus précisément, ssl) vers votre frontend habituel, et le flux ssh **vers un serveur particulier**. On verra ensuite une technique pour dire à Haproxy quel serveur ssh on souhaite joindre 😄 
+
+.. figure:: {static}/images/ssh-openssl-haproxy/ssh_simple.png
+    :width: 500px
+    :alt: Description de l'objectif à atteindre : Un frontend Public 443 redistribue les flux vers un backend SSH et un backend SSL, ce dernier renvoyant ensuite vers le fronted HTTP SSL habituel
+
+    Première étape : séparer SSH et SSL
+
+.. _frontend-tcp-ssl-ssh:
+
+Frontend TCP SSL/SSH
+--------------------
+
+Tout d'abord on va modifier votre frontend qui écoute sur le port 443. En toute logique, il devrait écouter sur l'adresse IP exposée vers l'extérieur, mais on va lui dire d'écouter plutôt sur l'adresse localhost, afin de créer ensuite un nouveau frontend qui s'occupera des accès entrants.  
+
+Modifiez donc votre frontend existant :
+
+.. code-block:: bash
+
+    frontend ft_tcpssl
+        # Local frontend
+        bind 127.0.0.1:1443 ssl crt /etc/your/certs accept-proxy
+        mode http
+        [...] # Vos acl et traitement http classiques
+
+Modifiez bien sûr le chemin ``/etc/your/certs`` par votre répertoire habituel pour stocker vos certificats.
+
+L'option `accept-proxy
+<http://docs.haproxy.org/2.4/configuration.html#5.1-accept-proxy>`_ indique de n'accepter que les connexions de type PROXY, ce qui sera le cas via notre chaine de frontend/backend Haproxy et assure de garder un maximum d'information sur la connexion d'origine.
+
+Ensuite, on va configurer un nouveau frontend qui se chargera de recevoir le flux sur 443 et de filtrer le flux chiffré en SSL (typiquement de l'https) de celui chiffré via SSH
+
+Pour cela :
+
+.. code-block:: bash
+
+    frontend 443-in
+        bind YOUR_IP:443
+        mode tcp # On est en TCP ici et pas encore en http
+
+        # On verifie les types de trafics parmi tcp over ssl, http et SSH
+        tcp-request inspect-delay 5s # Une connexion ssh peut être longuette à s'établir, on prends le temps d'inspecter le flux
+        acl trafic_ssl       req.ssl_ver    gt 0
+        acl trafic_ssh_raw req.payload(0,7) -m str SSH-2.0
+
+Ici on définit **deux ACLs** : 
+
+* L'acl ``trafic_ssl`` se base simplement sur le fait que le flux est chiffré avec ssl
+* l'acl ``trafic_ssh_raw`` quand à elle, vérifie les 7 premiers bits de payload de la connexion TCP, qui contiennent ``SSH-2.0`` dans le cas d'une transaction SSH !
+
+ Sur la base de ces ACL, on peut facilement rediriger vers les backends qui vont bien
+
+.. code-block:: bash
+
+    # Si SSL on envoie au backend TCP pour dechiffrement
+    use_backend bk_tcpssl if trafic_ssl
+    # Si ssh direct on envoie au backend ssh
+    use_backend bk_ssh if trafic_ssh_raw
+
+Backends SSL et SSH
+-------------------
+
+On va pouvoir établir les backends :
+
+.. code-block:: bash
+
+    backend bk_tcpssl
+        mode tcp
+        timeout server 2h
+        server ft_tcpssl 127.0.0.1:1443 send-proxy
+
+    backend bk_ssh
+        mode tcp
+        timeout server 2h
+
+        server ssh SSH_IP_SERVER:22
+
+On retrouve ici le frontend ``ft_tcpssl``, votre frontend habituel qui gère l'https, avec le mot clef ``send-proxy`` pour transmettre le flux sur localhost en mode PROXY.
+
+Le bk_ssh quand à lui reste très simple, vous indiquez l'adresse IP du serveur sur lequel vous souhaitez vous connecter en ssh comme cible du backend.
+(Rappel, on verra ensuite comment se connecter à plusieurs serveurs ssh sans devoir en indiquer un en dur 😜 )
+
+Cette première configuration est assez simple, et vous permettra simplement en lançant une connexion SSH sur le port 443 de vous retrouver sur votre serveur habituel.
+
+Les connexions pourront se faire par clef ou par mot de passe, de la manière dont vous fonctionnez en général !
+
+.. code-block:: bash
+
+    ssh -p 443 YOUR_IP
+
+
+Étape 2 : SSH sur SSL
+=====================
+
+Dans cette 2eme étape, on va ajouter une brique qui permettra d'injecter un flux SSH dans une connexion chiffrée avec SSL.
+
+Bien que techniquement plus complexe à utiliser et à configurer, on ajoute ici 2 gros avantages.
+
+1. Un pare-feu intelligent capable de faire la différence entre https et ssh sera incapable de bloquer ce nouveau flux, qu'il ne pourra que considérer comme de l'https
+2. La possibilité d'utiliser l'en-tête SNI des connexions SSL pour choisir dynamiquement la cible de notre connexion SSH
+
+On garde la configuration précédente, mais on va ajouter une nouvelle vérification de flux **une fois le SSL déchiffré**, pour voir si on à affaire à de l'http ou du SSH !
+
+.. figure:: {static}/images/ssh-openssl-haproxy/ssh_over_ssl.png
+    :width: 700px
+    :alt: Description de l'objectif à atteindre : Un frontend Public 443 redistribue les flux vers un backend SSH et un backend SSL, ce dernier renvoyant ensuite vers un nouveau frontend SSL. Ce nouveau frontend va se charger de déchiffrer le flux SSL, puis de rediriger le flux final vers le frontend HTTP habituel ou vers le serveur SSH demandé.
+
+    Deuxième étape : Séparer SSH et HTTP depuis le flux SSL
+
+Modifications du frontend SSL
+-----------------------------
+
+La première modification va se faire sur le **frontend SSL**, qui va porter en plus du déchiffrement classique du flux, de nouveaux tests pour détecter une connexion SSH.
+
+On va en gros faire le même traitement sur les en-têtes des paquets que dans notre première étape de `<frontend-tcp-ssl-ssh_>`_, mais cette fois sur le flux SSL déchiffré.
+
+Comme ce ne sera plus votre frontend http standard qui déchiffrera le flux, on va le modifier de nouveau pour écouter sur le port 80 sans chiffrement (rien ne sort, tout reste en interne)
+
+.. code-block:: bash
+
+    frontend http_in
+        # Local frontend
+        bind 127.0.0.1:80 accept-proxy
+        mode http
+        [...] # Vos acl et traitement http classiques
+
+Et **on récupère le port 1443 du localhost** vers lequel notre backend TCP déjà existant renvoie le flux pour traiter notre flux SSL :
+
+.. code-block:: bash
+
+    frontend ft_tcpssl
+        bind 127.0.0.1:1443 ssl crt /etc/haproxy/cert/ accept-proxy
+        mode tcp # On reste en TCP pour le moment
+
+        # On enrichit les logs avec les infos venant du TCP
+        log-format "%ci:%cp [%t] %ft %b/%s %Tw/%Tc/%Tt %B %ts %ac/%fc/%bc/%sc/%rc %sq/%bq dst:%[var(sess.dst)] http:%[var(sess.ishttp)] ssh:%[var(sess.isssh)] "
+        tcp-request content set-var(sess.dst) ssl_fc_sni
+        tcp-request content set-var(sess.ishttp) req.proto_http
+        tcp-request content set-var(sess.isssh) req.payload(0,7)
+
+        # Une fois le flux ssl déchiffré on peut verifier la payload pour du SSH
+        tcp-request inspect-delay 5s
+        acl trafic_ssh req.payload(0,7) -m beg "SSH-2.0"
+        tcp-request content accept if trafic_ssh   # accept SSH
+
+        # Et enfin, on transmet vers les backends
+        use_backend bk_local_https if HTTP
+        use_backend bk_sshssl if trafic_ssh
+
+On a déjà vu la plupart de ces options dans la première partie, mis à part le fait qu'on déchiffre le flux, rien de nouveau ici 😄 
+
+L'intelligence va se faire dans les backends ! Notamment celui du SSH
+
+Backend SSH enrichit au SSL
+---------------------------
+
+Le premier backend est très simpliste, il va renvoyer vers votre frontend http classique, pour un traitement du flux HTTP sans plus de fioriture :
+
+.. code-block:: bash
+
+    backend bk_local_https
+        mode http
+        http-request add-header X-Forwarded-Proto https
+        server httplocal 127.0.0.1:80 send-proxy
+
+Là où on va prendre un peu plus de temps, c'est sur le backend SSH : 
+
+.. code-block:: bash
+
+    backend bk_sshssl
+        mode tcp
+        timeout server 2h
+
+        # Avec le SSL et ses headers SNI on peut choisir le serveur cible
+        ## NEED haproxy > 2.0
+        tcp-request content set-dst var(sess.dst)
+
+        server ssh 0.0.0.0:22
+
+Ici, on reste en TCP, mais la magie se passe avec la ligne ``set-dst``. Grâce à ça, en utilisant la variable ``sess.dst`` définie plus haut dans le frontend, on est capable de modifier à la volée la destination de notre flux SSH.
+
+Cela va nous permettre de taper sur **n'importe quel serveur SSH**, rien qu'en modifiant le champs SNI de notre commande ``ssh`` ! C'est donc beaucoup plus souple que la redirection en dure vers un mono-serveur comme dans notre première partie.
+
+C'est également **plus risqué**, puisque techniquement n'importe qui sachant que vous avez implémenté ça pourrait s'en servir pour rebondir vers n'importe quel serveur en SSH, comme si la connexion venait de votre propre connexion.
+Notamment, on pourrait initier des attaques (DDOS, bruteforce, crawl, ...) en traversant haproxy et en se planquant derrière votre IP.
+
+On va donc voir comment limiter ces exploits !
+
+Sécuriser l'accès SSH
+---------------------
+
+J'ai mis en place plusieurs garde-fou :
+
+* Frapper avant d'entrer : pour tromper les bots, on va faire en sorte qu'il faille initier 3 connexions à la suite avant de réellement se connecter
+* Pas plus de 50 connexions simultanées autorisée
+* Connexion uniquement à une liste de serveurs autorisés
+
+On va devoir créer une sticky table dédiée à travers un backend dummy, car de base il n'existe qu'une seule ``stick-table`` par proxy (http://docs.haproxy.org/2.8/configuration.html#stick-table)
+
+On va également enrichir notre backend ``bk_sshssl``
+**Note** : À l'exception de l'acl utilisant le SNI, ces sécurités peuvent être ajoutée au backend ssh ``bk_ssh`` tout simple vu plus haut !
+
+.. code-block:: bash
+
+    # Pour avoir plusieurs sticky-table, on utilise un dummy backend
+    backend dummy_st_sshssl_src
+        stick-table type ip size 1m expire 12h store conn_rate(30m)
+
+    backend bk_sshssl
+        mode tcp
+        timeout server 2h
+
+        # Serveurs autorisés
+        acl allowed_destination var(sess.dst) -m ip RESEAU/24 IP/32
+        tcp-request content reject if ! allowed_destination
+
+        # On frappe avant d'entrer !
+        tcp-request content track-sc0 src table dummy_st_sshssl_src
+        tcp-request content reject if { sc0_conn_rate(dummy_st_sshssl_src) le 3 }
+
+        # Pas plus de 50 requêtes simultanees
+        tcp-request content reject if { sc0_conn_rate(dummy_st_sshssl_src) gt 50 }
+
+        # Avec le SSL et ses headers SNI on peut choisir le serveur cible
+        ## NEED haproxy > 2.0
+        tcp-request content set-dst var(sess.dst)
+
+        server ssh 0.0.0.0:22
+
+Modifiez comme bon vous semble ``RESEAU/24`` ou ``IP/32`` pour indiquer les réseaux ou serveurs autorisés à être joint par ces connexion SSH. Il vous suffit de les séparer par des espaces.
+
+Et voila, votre proxy SSH overs SSL est fin prêt à affronter les pare-feu que vous voudriez bien lui fournir !
+
+Et comment qu'on s'y connecte ?
+-------------------------------
+
+Pour vous y connecter, il faudra indiquer à SSH d'encapsuler son flux dans du SSL :
+
+.. code-block:: bash
+
+    ssh  -o ProxyCommand="openssl s_client -quiet  -connect IP_HAPROXY:443 -servername IP_A_SSH"  -l USER dummy.name
+
+
+Avec :
+
+* ``IP_HAPROXY``: Le hostname ou l'adresse IP de votre proxy
+* ``IP_A_SSH``: L'adresse IP que vous souhaitez réellement atteindre en ssh
+* ``-l USER`` : L'utilisateur ssh à utiliser 
+* ``dummy.name``: Contrairement à une connexion ssh classique, ce nom ne sera jamais ni résolu ni utilisé pour joindre le serveur ssh. **Néanmoins** c'est sous ce nom que l'empreinte SSH du serveur sera enregistrée dans votre fichier known_hosts, donc je vous conseille de le changer pour un nom pertinent en rapport avec ``IP_A_SSH``
+
+
+Au final
+========
+
+Et voila, votre proxy SSH over SSL est prêt à affronter le monde et ses pare-feux !
+
+.. code-block:: bash
+
+    ##############
+    ### TCP IN ###
+    ##############
+    frontend 443-in
+        bind YOUR_IP:443
+        mode tcp # On est en TCP ici et pas encore en http
+
+        # On verifie les types de trafics parmi tcp over ssl, http et SSH
+        tcp-request inspect-delay 5s # Une connexion ssh peut être longuette à s'établir, on prends le temps d'inspecter le flux
+        acl trafic_ssl       req.ssl_ver    gt 0
+        acl trafic_ssh_raw req.payload(0,7) -m str SSH-2.0
+    
+        # Si SSL on envoie au backend TCP pour dechiffrement
+        use_backend bk_tcpssl if trafic_ssl
+        # Si ssh direct on envoie au backend ssh
+        use_backend bk_ssh if trafic_ssh_raw
+
+    # Pour avoir plusieurs sticky-table, on utilise un dummy backend
+    backend dummy_st_sshssl_src
+        stick-table type ip size 1m expire 12h store conn_rate(30m)
+
+    backend bk_tcpssl
+        mode tcp
+        timeout server 2h
+        server ft_tcpssl 127.0.0.1:1443 send-proxy
+
+    backend bk_ssh
+        mode tcp
+        timeout server 2h
+
+        # On frappe avant d'entrer !
+        tcp-request content track-sc0 src table dummy_st_ssh_src
+        tcp-request content reject if { sc0_conn_rate(dummy_st_ssh_src) le 3 }
+
+        # Pas plus de 50 requêtes simultanees
+        tcp-request content reject if { sc0_conn_rate(dummy_st_ssh_src) gt 50 }
+
+        server ssh SSH_IP_SERVER:22
+
+    ####################
+    ### TCP OVER SSL ###
+    ####################
+    frontend ft_tcpssl
+        bind 127.0.0.1:1443 ssl crt /etc/haproxy/cert/ accept-proxy
+        mode tcp # On reste en TCP pour le moment
+
+        # On enrichit les logs avec les infos venant du TCP
+        log-format "%ci:%cp [%t] %ft %b/%s %Tw/%Tc/%Tt %B %ts %ac/%fc/%bc/%sc/%rc %sq/%bq dst:%[var(sess.dst)] http:%[var(sess.ishttp)] ssh:%[var(sess.isssh)] "
+        tcp-request content set-var(sess.dst) ssl_fc_sni
+        tcp-request content set-var(sess.ishttp) req.proto_http
+        tcp-request content set-var(sess.isssh) req.payload(0,7)
+
+        # Une fois le flux ssl déchiffré on peut verifier la payload pour du SSH
+        tcp-request inspect-delay 5s
+        acl trafic_ssh req.payload(0,7) -m beg "SSH-2.0"
+        tcp-request content accept if trafic_ssh   # accept SSH
+
+        # Et enfin, on transmet vers les backends
+        use_backend bk_local_https if HTTP
+        use_backend bk_sshssl if trafic_ssh
+
+    backend bk_local_https
+        mode http
+        http-request add-header X-Forwarded-Proto https
+        server httplocal 127.0.0.1:80 send-proxy
+
+    backend bk_sshssl
+        mode tcp
+        timeout server 2h
+
+        # Serveurs autorisés
+        acl allowed_destination var(sess.dst) -m ip RESEAU/24 IP/32
+        tcp-request content reject if ! allowed_destination
+
+        # On frappe avant d'entrer !
+        tcp-request content track-sc0 src table dummy_st_sshssl_src
+        tcp-request content reject if { sc0_conn_rate(dummy_st_sshssl_src) le 3 }
+
+        # Pas plus de 50 requêtes simultanees
+        tcp-request content reject if { sc0_conn_rate(dummy_st_sshssl_src) gt 50 }
+
+        # Avec le SSL et ses headers SNI on peut choisir le serveur cible
+        ## NEED haproxy > 2.0
+        tcp-request content set-dst var(sess.dst)
+
+        server ssh 0.0.0.0:22
+
+    ####################
+    ### HTTP & HTTPS ###
+    ####################
+    frontend http_in
+        # Local frontend
+        bind 127.0.0.1:80 accept-proxy
+        mode http
+        [...] # Vos acl et traitement http classiques
diff --git a/content/_drafts/fairphone-2-et-open-os.md b/content/_drafts/fairphone-2-et-open-os.md
deleted file mode 100644
index a2204f7..0000000
--- a/content/_drafts/fairphone-2-et-open-os.md
+++ /dev/null
@@ -1,12 +0,0 @@
----
-Title: Fairphone 2 et Open OS
-Subtitle: Déballage et retours après quelques semaines
-date: 2017-11-04 15:45
-Authors: Victor
-Slug: fairphone-2-et-open-os
-Category: Discussion
-Tags: fairphone2, déballage, Open OS, Téléphone équitable, Téléphone Open Source
-keywords: fairphone2, déballage, Open OS, Téléphone équitable, Téléphone Open Source
-Status: draft
----
-[TOC]