adzap & squid 2.4.stable7

[Stormbringer]

Hallo,

hat zufällig noch jemand bei der SuSE 8.1 ein Problem mit adzap und dem squid 2.4.stable7?
Seitdem ich die Kombination nutze, reichen selbst 32 redirector_children (ist schon das Maximum!) nicht mehr aus - es erscheint immer wieder der Eintrag: Too few redirector processes are running
Beid er noch vorhandenen 7.3 Installation läuft mit 15 redirector_children sowohl adzap als auch squirm, und zwar ohne Problemchen ... nun habe ich ja die Hoffnung, etwas übersehen zu haben ....

Gruß

[ratte]

habe selbige kombination auf gentoo 1.4 laufen, mit der alten konfig.

...wieso nutzt du auch suse ???

ratte

[Stormbringer]

Hi ratte,

Warum ich SuSE nutze?
Nun, zum Einen weil es eine deutsche Firma ist, und zum Anderen um mir ein klareres Bild für die Zukunft machen zu können - momentan ist es knapp contra SuSE. Dabei sind aber Fehler des Typen vor der Tastatur nicht ausgeschlossen!!!

Mein anderer Rechner will momentan nicht so recht, sonst h#tte ich es sowohl mit LRS als auch RH gegen getestet ... wobei mit die aktuelle RH Version auch nicht gerade gänzlich zusagt. RH8 mit einem absolut gleichwertigen Programm á la yast (jaja, ich weiß schon ... ) wäre mehr als eine Alternative!
Von einem LFS einmal ganz abgesehen.

Gruß

[ratte]

kann man als hinweis betrachten, dass die auesserung nicht so ernst gemeint ist.
also ehrlich, da habe ich echt nicht mit ner detailierten antwort gerechnet. danke.

...schade, dass ich dir nicht echt helfen kann, aber wie oben schon angedeutet, die alte konfig laeuft auch auf einem uptodate system und von daher kann ich dir keinen tip geben.

<gehaessig>
was sagt denn der suse support dazu?
</gehaessig>

ratte

[Stormbringer]

Na sicher habe ich dein schon richtig interpretiert!

Die Antwort des SuSE supports dürfte sich in etwa so anhören:
"Dieses Problem fällt nicht in den Bereich des Standardsupports, bitte wählen sie dafür unsere kostenpflichtige Hotline ....", und da habe ich irgendwann nun wahrlich keinen Bock mehr darauf.

Gruß

[ratte]

aha, als suseverweigerer ist man ja nicht immer auf dem neusten stand ob der support-standardsprueche.

..erinnert ein bischen an "Ruf jetzt an!", oder findest du nicht, wahrscheinlich mit dem gleichen ergebnis "no sex, no fun"

zum gucken einfach mal meine squid.conf:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
ftp_user anonymous@nowhere.com
dns_nameservers 127.0.0.1 172.16.0.1
redirect_program /usr/local/bin/wrapzap
redirect_children 10
connect_timeout 5 seconds
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl foren dstdomain www.pl-forum.de
acl worm urlpath_regex -i \.eml$
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl localclients src 172.16.0.0/24
http_access allow localclients
always_direct allow foren
http_access deny worm
http_access deny all
icp_access allow all
acl localclients src 172.16.0.0/24
miss_access allow localclients
miss_access deny !localclients
</font><hr></pre></blockquote>

vielleicht hilfts ja (uebersehene grobe fehler bitte ankreiden, danke.)

ratte

[Stormbringer]

Hi ratte,

Du hast zweimal den Eintrag:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
acl localclients src 172.16.0.0/24
http_access allow localclients
always_direct allow foren
http_access deny worm
http_access deny all
icp_access allow all
acl localclients src 172.16.0.0/24
</font><hr></pre></blockquote>
einmal sollte aber reichen ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Kann ich Dir u. U. einmal meine squid.conf zusenden?
Dann kannste es einmal damit testen ..... habe gerade RH8 installiert, ebenfalls mit squid 2.4, und selbige Einstellungen getätigt. "Too few redirectors ...." <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Also Platten getauscht, und die SuSE 7.3 Version mit squid 2.4 reingetan, gebootet, .... und es funzt.
Ich habe keine, aber wirklich absolut keine Idee mehr ..... außer: squid 2.4 von der 7.3 DVD installieren, und das 7.3 update drüberbügeln.

Schicke mir doch einfach eine Email ....

Gruß

[ratte]

ist da irgendwas geheimes drin, was hier nicht veroeffentlicht werden sollte?

ratte

[Stormbringer]

Nö ..... aber ziemlich lang.

Ok, hier kommt es:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
dns_nameservers 192.168.10.2 194.25.2.129 194.25.2.131

redirect_program /usr/local/bin/wrapzap
redirect_children 15

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
acl skar_net src 192.168.10.0-192.168.10.254/255.255.255.0
acl skar_name srcdomain skar.dt
acl worm urlpath_regex -i \.eml$ \.nws$ root\.exe\?\/c\+dir$ cmd\.exe\?\/c\+dir$ superheiss\.exe\?\/c\+dir$ dialer\.exe\?\/c\+dir$ dialerw\.exe\?\/c\+dir$ ieaccess\.dll\?\/c\+dir$
#acl verboten url_regex "/usr/local/bin/squid_verboten"
#acl erlaubt url_regex "/usr/local/bin/squid_erlaubt"

http_access deny worm
http_access allow manager localhost
http_access allow skar_net
http_access allow skar_name
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

icp_access allow all
miss_access allow all

forwarded_for off
fake_user_agent none

http_port 3128
icp_port 3130
#htcp_port 4827

cache_mgr admin@skar.dt

cache_mem 8 MB
cache_swap_low 80
cache_swap_high 85
maximum_object_size 32768 KB
ipcache_size 2048
ipcache_low 80
ipcache_high 85
fqdncache_size 2048
cache_dir ufs /var/squid/cache 200 32 256
cache_effective_user squid
cache_effective_group squid
# deny_info ERR_WORM worm
unique_hostname squid.skar.dt
log_fqdn on
</font><hr></pre></blockquote>

Es mag sein, daß der eine oder andere Wert eh der default Wert ist, ich habe halt ab und zu etwas rumprobiert ... bspw. mit den urlpath_regex

Gruß

[ratte]

mannoman, mit welcher monsterhardware muss dein proxy-server ausgeruestet sein? nach aufnahme meines netzes samt nameserver, runtersetzen auf 10 redirectors und loeschen des cachpfades (weil sonst mecker) konnte squid mit deiner config starten, hat aber die prozesslast auf 30 (!) hochgeblasen, httprequests konnten nicht mehr beantwortet werden.
selbst beim kernelkompilieren komme ich nie an eine last von 3...

die erste meldung, die ich mir eingefangen habe:

---schnipp---
# squid -k reconfigure
2002/10/24 14:26:46| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '192.168.10.0-192.168.10.254/255.255.255.0'
---schnapp---

das sollte dir zu denken geben...

danach habe ich solange angepasst, bis es lief, und sieheda, httprequests konnten wieder beantwortet werden, und adzap hat auch fleissig gefiltert. die aenderungen sind wenige:
-nameserver anpassen
-mein netz rein, dein netz raus
-cachepfadangabe raus
das wars.

muss also an deinen acls fuer dein netz was faul sein.

mein tip: mach dir eine minimal-konfig.
starte squid damit. tausche minimal-konfig gegen maximal-konfig aus und mache dann

/pfad/zu/squid -k reconfigure

das liest die konfig neu ein restartet squid und seine prozesse und beschwert sich auch, wenn noetig.

ein auge auf die squid-logs zeitgleich geworfen sollten auch helfen.

viel erfolg.

ratte

[Stormbringer]

ups ... Schreibfehler .... es muß:
acl skar_net src 192.168.10.0-192.168.10.255/255.255.255.0
heißen!

Ansonsten werde ich werde ich einmal anfangen, die config zu tauschen ... <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Die squid logs sind leider nicht soo ergibig, weil eben lange Antwortzeiten nicht aufgeführt werden.
Melde mich, wenn ich etwas neues habe.

Gruß

[ratte]

dann kannste 192.168.10.0-192.168.10.255/255.255.255.0 auch durch

192.168.10.0/24 ersetzen.

ratte

[Stormbringer]

Hi,

so, habe nun erst einmal abgespeckt auf:
<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
redirect_program /usr/local/bin/wrapzap
redirect_children 32
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl localclients src 192.168.10.0/24
http_access allow localclients
http_access deny all
icp_access allow all
miss_access allow localclients
miss_access deny !localclients
</font><hr></pre></blockquote>

Mit welchem Ergebnis? "Too few redirectors ....", bei folgenden Testseiten:
pro-linux.de
pcwelt.de
chip.de
heise.de

Welche perl Version nutzt Du?
Welche adzap Version?

Gruß

[ratte]

habe dein eingeschmolzenes script mal ausprobiert und nur das netz angepasst.

erfolg: hohe load bis 4, die sich dann nahe 1 einpendelt. 32 squid_redirect und zapchain prozesse. httprequests werden beantwortet und adzap filtert fleissig bei <a href="http://www.amazon.com" target="_blank"><!--auto-->http://www.amazon.com</a><!--auto--> , <a href="http://www.prosieben.de" target="_blank"><!--auto-->http://www.prosieben.de</a><!--auto--> , <a href="http://www.yahoo.de" target="_blank"><!--auto-->http://www.yahoo.de</a><!--auto--> .

meine programmversionen:

perl, v5.6.1 built for i586-linux
zapchain v.unknown, die von vor einem jahr oder so...
squirm v.unknown, die von vor einem jahr oder so...
wrapzap v.unknown, wenige tage alt
Squid Cache: Version 2.4.STABLE7

...mit anderen worten: ich habe mir die alten sachen von der sicherung auf das neue system kopiert, da gentoo sowieso kein adzap als package vorhaelt. mit update-zapper.sh hole ich mir bei bedarf (wenn im opera andere werbung als operawerbung auftaucht) eine neue version von squid_redirect. also die gleiche situation wie bei dir.

system:
Linux <namen_sind_schall_und_rauch> 2.4.19-xfs-r1 #1 Don Okt 17 16:12:23 CEST 2002 i586 AuthenticAMD

ist ja echt mirakuloes. da gehen einem ja nun doch die ideen aus. hast du mal squirm auf der konsole auf funktionalitaet geprueft? vielleicht laeuft da bei den redirects was wild? funktioniert meine konfig auch nicht? hast du vielleicht einen gepatchten kernel mit zusaetzlichen sicherheitsmerkmalen, die im userspace restriktionen machen?

<b>rat</b>los<b>te</b>

[Stormbringer]

So .... habe gerade einmal schnell auf einem zweiten Rechner RH8 installiert, und meine & Deine squid.conf hinüberkopiert. Ebenso die adzap & squirm Dateien.
Flux den router insoweit modifiziert, daß nun der zweite squid auch direkten Zugang zum Internet hat (also nicht über den eigentlichen squid Proxy läuft), und ihn aktiviert.
Fazit: "Too few redirectors ..."

Die SuSE Konfig läuft mit SuSEs 2.4.19 Kernel, das RH System sowohl mit dem original 2.4.18 als auch dem ge-update-teten 2.4.18.
Außer der squid.conf sind lediglich die adzap Dateien gleich, und die Perl Version - die ist beide Male 5.8.0
Ob es daran liegt?

Momentan versuche ich, auf den alten Bändern eine alte adzap Version zu finden - vielleicht liegt es ja am squid_redirect Skript .... so hoffe ich zumindest.

Gruß