Persze én vagyok a hülye, mert nem gondolom végig, hogy mit tehetnék a reklámok ellen...
A történet röviden: beraktam (már többször is próbálkoztam vele) egy squid proxy-t, abban beállítottam egy szép kis listát a nemkívánatos reklámoldalakkal (mopubs.com, crashlytics.com - ez utóbbi nem is tudom, valójában mit csinál, de valami adatgyűjtő szemét, googleads.g.doubleclick.net, facebook oldalak stb.), hogy ez majd jól szűri a reklámokat.
Úgy általában nem lennék reklámellenes, de amikor hónapokon át a pofámba tolnak az applikációk olyan "hirdetést", hogy "Vírusos a mobilod, 5 vírust találtunk rajta, sürgősen töltsd le a víruskeresőnket"... na ott már végképp elszakadt a cérna. Legutóbb meg az androidos chrome szórakoztatott valami hasonlóval, de sokkal durvább formában, mert még a telefon vibrátorát is beindította és úgy dobott fel popup ablakot, hogy azok le voltak tiltva...
És akkor még nem említettem, hogy sok esetben a reklámszerverekről jönnek a vírusok.

Visszatérve az android vs. squid témára: szépen beüzemeltem, mobilon beállítom, hogy ezentúl irány a proxy, ha netet akarsz kedvesem, és látom is a logban a TCP_DENIED üzeneteket, de a reklámok valahogy mégis jönnek.
Kezdtem valakinek emlegetni a nőnemű felmenőit, meg azt a bizonyos testrészét, hogy azzal játsszon, ne velem... Hát a kis mocsok android van olyan pofátlan, hogy hiába állítok be proxy-t, ha azon keresztül nem tudja letölteni a reklámot/malware-t/stb., akkor szépen direktben kimegy a netre, nem foglalkozik a proxy-val... De kicsesztem vele egyelőre: en bloc letiltottam a mobilok IP tartományát a netről, csak a proxy-n át van esélyük kijutni, ott meg előbb-utóbb megfogom az összes ilyen szemetet.  Azért az már tényleg túlzás, hogy egész oldalas, az applikációt 100%-ban kitakaró hirdetéseken kell átverekedni magam, ha ki akarok szállni egy programból, miközben aktív a net... Ráadásul ezek többsége mindenféle szarok telepítésére akar rávenni. Na persze... meg a JQA az... :D

Ha valakit esetleg érdekel, squid3.conf-ba, valahova a többi ACL-ek elé kell egy ilyen blokk:
# AD Blocking
acl ads url_regex "/etc/squid3/adblock.txt"
http_access deny ads
deny_info TCP_RESET ad

Az adblock.txt-be meg egy lista a blokkolandó URL-ek nevével. Nagyon nem is kell regexp-t írni, ha csak domaint akarok letiltani, akkor elég az oldal neve (egy gáz van ezzel: ha valahol legális URL-ben szerepel, azt is le fogja tiltani, így azt hiszem, az olyan oldalak, mint a quttera.com és a sitecheck.sucuri.net sem fognak megjelenni, ha a proxy-n át próbálod ellenőrizni ezeket az oldalakat). Nálam most így néz ki az adblock.txt, amit a  teszthez gyártottam:
http://.*hit.gemius.pl/
http://.*adverticum.net/
http://www.google-analytics.com/
http://ads.mopub.com/
googleads.g.doubleclick.net
crashlytics.com
googleadservices.com

Persze majd átírom normálisabbra...

Történt, hogy felhúztam egy vadonatúj Debian Jessie-t a szervernek vett gépemre és úgy döntöttem, hogy az egyszerűség kedvéért lxc konténerekbe pakolom a rajta futó szolgáltatásokat (legalábbis amit tudok).

Debianból csak egy minimal install, rá az lxc, konténerbe egy másik jessie:
lxc-create -t download -n xxx

Debian, jessie, amd64 - szépen és gyorsan felment. Első körben bridged network volt beállítva, de úgy döntöttem, hogy jobban kézben tudom tartani az egészet, ha NAT mögé rakom a konténereket. Hurrá, működik. Akkor mehet bele a squid3, a host-on meg beállítottam a port forwardot, hogy a 3128-as port menjen át a konténerbe. Ez is működik. Aztán néhány nap után bementem a virustotal.com-ra ellenőrizni valamit, ahol kaptam egy linket a sucuri.net oldalra. Igen ám, de az oldal nem akart bejönni. Először azt hittem, döglött a lap, de nem, proxy nélkül működik. WTF????

Eltelt pár hét nagyjából, ma megint előszedtem a témát, mert nem akartam elhinni, hogy pont egy biztonságtechnikával foglalkozó lapot ne lehessen proxy-n át elérni. Hm... a konténerben a /etc/network/interfaces tökéletes. Ennek ellenére az "ip ad" kimenetében szerepelt egy 192.168.100.10/24 és egy 192.168.100.10/8-as cím is. Na ezt végképp nem értettem. Kicsit alaposabban utánanézve: a konténer saját konfigjában is be volt állítva az IP cím, így:
     lxc.network.ipv4 = 192.168.100.10
Elő a doksit, kiderült, hogy ez így nem nyerő, mert ez így (ki tudja, miért) /8-as címként állítódik be. És mindez fel sem tűnt volna, ha történetesen a sucuri.net IP címe nem 192.x.x.x...   ettől kezdve ugye a konténer lokális címként próbálta kezelni az összes 192.x.x.x címet, köztük a sucuri.net-t is. Anno túlságosan hozzászoktam, hogy a netmask automatikusan az adott cím osztályához állítódik, szóval 192.168.x.x/16, 172.16.x.x/12 illetve 10.x.x.x/8 ha nincs más megadva. Itt meg ez a nyomorult lxc tojt minderre és berakta magát /8-asként.

Részemről elegem volt, használhatatlan fos ez az egész. Teli bugokkal, a buglista egyre hosszabb (nem csak a trunk esetében, hanem a "stabil" CC-nél és a korábbi verzióknál is), javítani meg a legritkább esetben javítják őket. Úgyhogy vettem egy miniITX-es gépet. Na majd ezzel minden szép lesz és jó...

Hát egy méretes lófasz, az jó...
1. Az épp kéznél lévő Ubuntu 14.04 live-t bootolva úgy jelent meg a GUI, hogy minden második betű, néha több is, egyszerűen hiányzott. Hát ez így használhatatlan. Na mindegy, még próbálkozom. Volt, hogy sikerült használható formában bootolni. Döglassú. Anno sok helyen olvastam, hogy az N3150 kb. egy Core2Duo sebességét hozza, jóval kisebb fogyasztás mellett. Ehhez képest jóval lassabban működik (ugyanez a linux van egy Core2Duo-s gépemen), másrészt a fogyasztása, ha hihetek a mérőmnek, akkor is 25W, ha épp nem csinál semmit. Asus N3150I-C alaplap + egy Kingston SSD, billentyűzet, egér. Ennyi az össz, ami fogyaszt.

2. Debian nemes egyszerűséggel megdöglik. Szerverként ugyan funkcionál, ssh-n be tudok menni rá, de a grafikus felületet képtelen magához térni. Valami "oops...." kezdetű üzenet fogad és nem lehet eltüntetni. Még akkor sem, ha lelövöm a gdm3-t és vele minden grafikus szemetet. Félelmetes... kidobtam eddig közel ötvenezret, majd még ehhez jön kb. 25-ért egy új doboz is, hogy végül csak porfogónak legyen jó... Éljen!   Furcsa, hogy amíg az intel gyártott alaplapot, hálókártyát, addig soha, semmi bajom nem volt, még a legfrissebb darabokkal sem. Most meg...

Kitaláltam (már régebben), hogy a router helyett inkább egy kis fogyasztású PC-t használnék. Most végre rászántam magam, hogy az openwrt ilyen csúf véget ért. Természetesen muszáj volt egzotikus cuccokat kinézni. Viszont nem akarok a megrendelés után még egy-két hetet várni, mert addig simán elmegy a kedvem az egésztől, különösen, ha találok egy jóval olcsóbb megoldást. Szóval a legtöbb bolt eleve kiesik, mert min. egy hétre vállalnák az alaplapot is, meg a házat is. No sebaj, azért körbekérdezem a megbízhatónak tűnő boltokat, mi a helyzet. Telefonon természetesen sehol sem tudnak segíteni, ha valami technikai részletbe kérdezek bele. Próbáljam e-mailben! Sajnos 10+ éve kiestem a gépépítésből, az Intel már nem gyárt alaplapokat, az ismerős márkák eltűntek vagy elkurvultak azóta, kénytelen vagyok kérdezni. Szétküldök pár e-mailt. Két nap alatt egyre jött válasz. Az is olyan, hogy... szeretnék egy kisfogyasztású PC-t, passzív hűtéssel, erre ajánlanak valami olyan szervert, ami aktív hűtésű és a fogyasztása idle állapotban is duplája az eredetileg kinézett, de náluk épp nem kapható konfig 100%-os terhelés melletti fogyasztásának. Gyári doksi szerint... hát ez nem megy. Marad a router, a gányolt freeradius, a naponta újrainduló squid stb. :(

Teli van bugreporttal az openwrt ticket rendszere. Az utóbbi két hónapban mindössze két olyat találtam, ami nem fejlesztői ághoz tartozott és javították is. A többi... úgy tűnik, a már kiadott verziók karbantartására nincs kapacitás.

Kár érte, szépen indult, sajnálom, hogy ide züllött.

Nagy nehezen eljutok odáig, hogy lefordítsam az elcseszett freeradius2 csomagokat magamnak és elkészítsem belőle a package-eket. (nem azért ment nehezen, mert olyan bonyolult, hanem mert nehezen olvasok, plusz sokat kellett várni, mire a virtuális gépben lefutott a fordítás)
Áttolom a routerre a kész .ipk csomagokat, próbálom telepíteni, mire közli, hogy az SHA256 checksum eltér. Anyád, az! Tehát gyári csomagból hiába telepítem, mert bugos. Manuálisan fordítva meg nem tudom telepíteni, mert a kibaszott telepítő az eredeti csomag checksumját nézi, nem foglalkozik azzal, hogy most fájlból próbálom, tudatosan... O.K., akkor legyen --force-checksum kapcsolóval! Felmegy, hurrá! Majd, radiusd -X -C és mi az eredmény?

libssl version mismatch.  built: 1000204f linked: 1000205f

Az a radiusd és függelékei, amelyet most fordítottam, vadonatfriss, az openssl-t is most fordítottam forrásból. Hát mit mondjak... nem tudom, ez az egész retek kinek a sara, de az biztos, hogy hosszú időre elvesztették még azt a minimális bizalmat is, ami volt bennem az openwrt nevű szarkupac irányába.

Update: úgy fest, ez csak kismértékben az openwrt hibája, valóbjában a freeRADIUS forrásában lehet a gond. Legalábbis a mageia.org-on és azt hiszem, a FreeBSD-nél is hasonló hibákkal küzdöttek a nyáron, előbbi oldalon újranyitották dec.10-én a hibát.

Update2: fogjuk rá, ez részben az én hibám is. Fordítás előtt elmaradt a "git pull", a telepített openwrt csomagom meg még libopenssl update előtti.

Végre, hosszas nyűglődések, mindenféle kompromisszumok árán sikerül úgy beüzemelni mégis a squid-t, hogy valamennyire működjön. A collectd + luci_statistics duó, némi manuális konfig turkálás után legalább részben működik. De...

Mi a bánatos lófaszé' rakják bele a lxc-* csomagokat, ha a kernel eleve alkalmatlan a használatára? (default config szerint a cgroup opció le van tiltva, meg úgy egyébként is, ezeken a nem x86-os routereken kb. nulla az esély rá, hogy valaki virtualizálni akarna (többek közt memória hiányában). De erre van kapacitás. Hogy valaki pl. a syslog-ng-t vagy jó néhány, oldpackages-be került csomagot továbbvigyen, arra nincs. Full felesleges dolgokra bezzeg...

És akkor a csúcsok csúcsa: valamikor a freeradius elkefélődött. Hogy kinek a sara volt, nem tudom. Lényeg, hogy az aktuális openSSL verzióval nem tudott együttműködni, ha jól látom, nem csak openwrt-n, hanem több különböző linux disztribúción sem. Rájöttek, javították. Dec. 7-i dátummal van egy libssl.so.1.0.0-m. Ezzel megint nem megy a freeradius: "libssl version mismatch.  built: 1000204f linked: 1000205f".  Ennyire trehány munkát hogy adhatnak ki a kezükből? Micsoda kupleráj van itt?

Hol is tartottam? Ja igen, polipo... azért még adtam neki egy esélyt, hogy legalább amíg kitalálok helyette valamit, legyen proxy-m. Caching proxy egyébként főleg azért kell, mert több linuxos virtuális gépem van és a magyar mirrorok nem mindig megbízhatóak, a külföldiek meg újabban iszonyat lassúak. Szerintem kedvenc ISP-mnél van elkefélve valami, de az is lehet, hogy en bloc Magyarországról lassú szinte mind. (régebben Ausztria pl. azonos sebességű volt a magyar tükrökkel, akkor még 20-30Mbps sávszélem volt. Most van 100Mbps, ami a gyakorlatban 80, de a külföldi tükrökről jó, ha 300Kbps-t el tudok érni. :(  A speedtest is jelez némi lassulást, de nem ilyen durvát, szóval nem tudom, mi lehet a gond. (azért a speedtest.net-nek nem hiszek igazán, helyenként mintha kozmetikázná az eredményt), no de vissza az eredeti témához, polipo...

Ma délelőtt hirtelen azt a választ kaptam, hogy nincs válasz a proxy-tól. Felmentem a routerre, és tényleg: a polipo processz nyomtalanul eltűnt. Saját logjában, syslogban semmi infó róla, hogy mi történt. Itt eldőlt, hogy akkor a polipot repülni tanítom és jön vissza a squid, majdcsak összegányolok valamit, hogy ne egye meg az egész rendszert. Közben még kicsit nézelődtem a google-n, hogy miért is kellett ennek a nyomorultnak a DocumentRoot a cache beindításához, kiderült, hogy tegnap egyszerűen átsiklottam felette, hogy más is megtalálta az okot. Egy 2014-es fórum posztban ott volt még a patch is, amit csak rá kellett volna tenni a forrásra (egyetlen sor cseréje) és újrafordítani a kiadott binárist. Több mint egy éve nem voltak képesek javítani. A workaround meg ugye egy kib. nagy sec.hole... Na mindegy. Lassan erőt gyűjtök és megy vissza a squid, de a polipo és a squid korábbi kidöglései miatt elméláztam, hogy valami felügyelő programocska sem ártana, ami egy esetleges megdöglés esetén takarít és újraindítja a szükséges processzt. Hoppá, ott a collectd, van neki process modulja, meg valami notification interface-e is. Hát igen... bizonyos feltételek teljesülése esetén tudok üzenetet küldeni. De egyelőre úgy látom, újraindítani a megdöglött processzt már nem. Egye fene, a nagios amúgy is elterjedtebb (legalábbis többször találkoztam vele), lecserélhetem a collectd-t nagios-ra. Aha... ahogy azt a Móricka képzeli... nagios nincs. Csak egy ősi verzió, az oldpackages-ben, a Barrier Breaker repoban. Hmmmm... most látom csak, hogy talán nem ok nélkül: mióta lett fizetős, pláne ilyen drága a nagios? :((( (jelzem: nyolcadik éve, hogy kiestem a szakmából, közvetlen dolgom nem volt ezekkel, munkahelyemből adódóan elég drága játékszereink voltak ilyen célokra) Azért ez elég durva. :((((   Gyakorlatilag egy demo ami ingyenes??? Mert hogy se webes interface(?? a konfigurálást letojom, de ahogy elnézem, grafikonok készítése és egyéb monitoring cuccok is csak a fizetős verziókban, valójában a business változatban érhetőek el... na jó, hát nagios nem kell. És itt megáll a tudomány, mert egyelőre ott tartok, hogy nem csak keveset tud a collectd ahhoz képest, amit szeretnék, de openwrt-re egyszerűen nincs más felügyeleti szoftver. Ja, collectd + luci-app-statistics processzfelügyelete mintha bugzana, mert a processzek grafikonjai közt van egy ami nem létező vagy hibás formátumú képre hivatkozik. Lehet, hogy az lesz a vége, összegányolok magamnak valamit pythonban.

Aki nem tudja, mi az az OpenWRT, annak úgysem lehet érdekes ez a blog, úgyhogy nem részletezem, mi az.

Szándékaim szerint, itt rögzítem azt a küzdelmet, amelyet egy tplink routerrel és a rá telepített OpenWRT-vel folytatok annak érdekében, hogy egy mini szervert készítsek belőle, aztán kukázzam az egészet (legalábbis a beleölt munkát) és vegyek egy normális szervert. Mit értek szerver alatt? Egy caching proxy-t, ami reklámblokkolónak is jó (squid volt betervezve), egy logszervert (tervek szerint syslog-ng3), egy mini web szervert, aminek a feladata kb. kimerülne a semmiben, de jó, ha van :) és egy FreeRADIUS-t, hogy végre a wifi-m ne jelszóval, hanem tanúsítvánnyal tudjon authentikálni. Korábban már volt valami hasonlóm egy másik routeren és Tomato + entware felhasználásával. Sajnos az entware-es squid bugos volt, túl sűrűn resetelte magát a router miatta, meg hardveresen is valamivel gyengébb volt, ezért nem is foglalkoztam vele mélyebben.

Első menet. Korábban a Barrier Breakert használtam, de megjelent a Chaos Calmer és én azonnal váltottam. Mert újabb, új a kernel, csak jobb lehet. Vettem először egy pendrive-ot, hogy jó lesz az diszknek, aztán sürgősen éltem az elállási jogommal, mert a pendrive (Sandiskből valami 32GB-os, ultra pici példány) pusztán attól, hogy húsz percet eltöltött a routerben, tűzforró lett, szó szerint megégette az ujjam, mikor kivettem. Ha valakit érdekel, talán még meg tudom keresni a pontos típust, nehogy feleslegesen vegye meg még valaki. Most van egy külső, USB házba szerelt 120G-s SSD-m, ami alig volt drágább az említett pendrive-nál, viszont a S.M.A.R.T. működik benne és nem melegszik. Anyázás már itt indult, mert vettem hozzá új házat, de abban nem működött a S.M.A.R.T. adatok lekérdezése, a régiben meg az SSD TRIM nem megy. Na, döntsem el, mi a fontosabb, úgy döntöttem, a TRIM mégis inkább kell, mint az állapot, úgyhogy vissza az új házba. Szerencsére vannak olyan mazochista hajlamaim, hogy ha valami nem megy, hajlamos vagyok addig erőltetni amíg vagy elindul vagy tönkremegy :D Most az előbbi jött be: smartctl -A -d sat /dev/sda parancs szükséges a lekérdezéshez. Hogy erre hogy jöttem rá, az örök rejtély marad számomra. Nem kicsit voltam dühös... na jó, egy dolgon túl vagyok, jöhet a lényeg.

Először is az OpenWRT extroot, hogy legyen hová tenni cache-t, logokat stb. Csinálom a leírás szerint (nagyjából), épp csak a "block detect >/etc/config/fstab" után sürgősen újraformáztam a partíciót és elfeledkeztem arról az apróságról, hogy ez a nyomorult UUID alapján mountol, az mkfs.ext4 viszont újat ad neki. Úgyhogy rövid anyázás után ("faszé' nem megy ha a leírás alapján csinálom?"), kiszúrtam a megváltozott UUID-t, újabb block detect, reboot és juhéééé! Máris 50GB-om van a router pár megabájtja helyett. Eddig heppi.

És itt kezdődött az a folyamatos anyázásom az openwrt fejlesztői irányába, ami azóta sem szűnik és ezt a blogot ihlette. Mert ha már belekezdtem, végigcsinálom, szerver lesz a routerből, ha beledöglök is, de....

1. Hol a 'csába vannak olyan programok, mint syslog-ng3, netstat-nat, whob és még a halál tudja, hány, gyakran használt segédprogram? Ja... nincs maintainerük, így már a Barrier Breakerben is az oldpackages könyvtárban voltak csak elérhetőek. Még szerencse, hogy a többségük a BB repoból gond nélkül települ, szóval a dolog nagyja ezzel letudva, bár itt már kezdett gyanússá válni, hogy ebből éles szerver nem lesz.2. Kezdeném a squid-del... kicsit megváltozott a korábbihoz képest. Régebben egy kulturált, felkommentezett konfigja volt, most meg odahánytak egy pár soros default konfigot, kommentek nélkül, aztán ha kell valami, akkor kezdd bányászni a doksiból. Jó, hogy szuvenire nyihuhu, nyikukucsku protku, na de azért... és bizonyos paraméterek nem működnek igazán. Pl. a logjait syslog szerverre akarom küldeni, a doksi szerinti formában adom meg, ez meg közli, hogy nem tudja megnyitni a "syslog:daemon.debug" fájlt. (ilyen formátumban kéri a specifikációt, ha syslog-ra küldöm). Másik lognál meg valami /usr/lib/logfile_daemon-t hiányol, ami persze nem létezik a kész bináris csomagban, újra kellene fordítani hozzá a squid-t. Cross compile valahogy nem az esetem, sikerül ugyan létrehozni a környezetet, amin egy helloworld.c-t lefordítva a routeren működő programot kapok, de a squid-t forrásból már nem tudom lefordítani rajta, olyan hibákat dobál, amikkel nem tudok mit kezdeni. Közben a routeren is piszkáltam kicsit a squid konfigot, végül sikerült annyira kiherélni, hogy elinduljon.
3. Végre megy, az alkotó megpihen és hagyja járni a gépet. Elég hamar feltűnt, hogy időnként fél-egy percre leszakadok a netről, de ha mellőzöm a proxy-t, akkor nincs ilyen gond. Hát a default konfiggal, a gyakorlatilag üres routeren sem igazán működőképes, felzabálja a memóriát. Aztán ha elfogyott, akkor szerencsére nem az egész routert, csak saját magát indítja újra.
4. Mivel eleinte nem látszott, mennyi memóriát használ valójában (a leállítása után sem szabadult fel jelentős mennyiségű memória), keresni kezdtem egy monitorozó programot, de ehhez már nem volt sok türelmem, maradt a collectd. De mire megtaláltam, hogy a LuCi-ban a luci-app-statistics modul kell, hogy a collectd által begyűjtött infókból grafikont készítsen... és még így is van egy csomó, amit hiába raktam fel, a LuCi-ban nem tudom megnézni. Arra már nem volt energiám, hogy utánamenjek, hogy tudnék mindent, részletesen, grafikus formában lekérni... majd máskor...
5. Kiderült, hogy sajnos akármit csinálok, nem tudom annyira redukálni a squid memóriaigényét, hogy használható maradjon (bár itt még van egy kérdőjeles pont, lehet, hogy én csesztem el amikor a rock store-t is beállítottam, ennek majd utánajárok), kell egy másik proxy, ami URL alapján szűr + cache-el. Tinyproxy. Ja, nem, az nem cache-el. Ö... kifogytam a lehetőségekből... ja, mégsem: polipo (folyton Polio-ként jut eszembe, ami az ukrajnai járvány miatt lehet :( ). Hát izé... Úgy szidom a fejlesztőjének a jó édes szüleit, nagyszüleit stb., hogy még a fal is belepirul... Elvileg diszkre cache-el. Gyakorlatilag nem. Jó néhány órám ráment, úgy tűnik, nem csak nekem, mert a neten csak panaszokat, kérdéseket találtam, megoldást nem, hogy miért nem megy... minden létező variációt kipróbáltam, de nem, nem és nem... aztán egyszercsak elindult. WTF??? (azt most nem részletezem, hogy a saját, belső DNS-e miatt mit szoptam). Kiderült, hogy az openwrt csomagban lévő default konfig nem azonos azzal, amit a /etc/init.d/polipo start felszed. Az eredetivel valamiért működött a diszkes cache, az openwrt-ssel nem. Kb. tíz eltérés volt köztük, úgyhogy relative hamar kiderült: van benne egy web szerver, amit ha letiltok (nem adok a localDocumentRoot paraméternek egy létező, valós, tehát nem a /dev/null-ra mutató könyvtárat, akkor szarik a cache-re, holott dokumentáltan a cache-nek csak a diskCacheRoot-nak kell jó helyre mutatnia.
6. Hurrá, végre megy! A filter kipróbálásához már nem jutottam el, mert eszembe jutott pár kellemetlen mellékhatása a polipo webszerver bekapcsolásának. Ez egy primitív kis szerver, biztonságra valószínűleg nem adott annyira a fejlesztője, hiába adok neki egy üres könyvtárat, a franc tudja, milyen disznóságra lehet felhasználni. Na mindegy, végül is egyedül használom, annyira nem izgalmas. Hmmm... a proxy porton érhető el a webszerver is. Ha a http://proxy-cime:proxy-port/polipo/ címre hivatkozom, egy kurva szó nélkül a pofámba tol egy admin felületet a proxy-hoz, ahol még néhány paraméterét is át tudom írni... authentikáció, authorizáció meg minek egy ilyen laphoz? Kurrrva jó. Egy kikapcsolhatatlan backdoor, amit miután nem localhoston terveztem használni... Hát nagyon gyorsan jött az opkg remove polipo. Anyád, az, már megint! Nem tudja eltávolítani a csomagot, használjam a --force-remove kapcsolót, pedig semmiféle függősége nincs.... valószínűleg a módosított konfig fájlok miatt.

Folyt. köv. ha addig nem kukázom az egészet, hogy a helyére tegyek valami barebone vasat egy normális debiannal...