chiark / gitweb /
use libinn logging where applicable
[inn-innduct.git] / backends / innduct.c
index 4277920..44a07c7 100644 (file)
@@ -1,14 +1,26 @@
 /*
- * todo
- *  - inotify not working ?
- *  - some per-conn info thing for control
- *  - option for realsockdir
- *  - option for filepoll
- *  - option for no inotify
- *  - manpage: document control master stuff
+ *  innduct
+ *  tailing reliable realtime streaming feeder for inn
  *
- * debugging rune:
- *      build-lfs/backends/innduct --no-daemon -f `pwd`/fee sit dom
+ *  Copyright (C) 2010 Ian Jackson <ijackson@chiark.greenend.org.uk>
+ * 
+ *  This program is free software: you can redistribute it and/or modify
+ *  it under the terms of the GNU General Public License as published by
+ *  the Free Software Foundation, either version 3 of the License, or
+ *  (at your option) any later version.
+ * 
+ *  This program is distributed in the hope that it will be useful,
+ *  but WITHOUT ANY WARRANTY; without even the implied warranty of
+ *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+ *  GNU General Public License for more details.
+ * 
+ *  You should have received a copy of the GNU General Public License
+ *  along with this program.  If not, see <http://www.gnu.org/licenses/>.
+ *
+ *  (I believe that when you compile and link this as part of the inn2
+ *  build, with the Makefile runes I have provided, all the libraries
+ *  and files which end up included in innduct are licence-compatible
+ *  with GPLv3.  If not then please let me know.  -Ian Jackson.)
  */
 
 /*
@@ -205,11 +217,20 @@ perl -ne 'print if m/-8\<-/..m/-\>8-/; print "\f" if m/-\^L-/' backends/innduct.
 #define INNDCOMMCHILD_ESTATUS_NONESUCH 27
 
 #define MAX_LINE_FEEDFILE (NNTP_MSGID_MAXLEN + sizeof(TOKEN)*2 + 10)
-#define MAX_CONTROL_COMMAND 1000
+#define MAX_CLI_COMMAND 1000
 
 #define VA                va_list al;  va_start(al,fmt)
 #define PRINTF(f,a)       __attribute__((__format__(printf,f,a)))
 #define NORET_PRINTF(f,a) __attribute__((__noreturn__,__format__(printf,f,a)))
+#define NORET             __attribute__((__noreturn__))
+
+#define NEW(ptr)              ((ptr)= zmmalloc(sizeof(*(ptr))))
+#define NEW_DECL(type,ptr) type ptr = zmmalloc(sizeof(*(ptr)))
+
+#define DUMPV(fmt,pfx,v) fprintf(f, " " #v "=" fmt, pfx v);
+
+#define FOR_CONN(conn) \
+  for ((conn)=LIST_HEAD(conns); (conn); (conn)=LIST_NEXT((conn)))
 
 /*----- doubly linked lists -----*/
 
@@ -272,6 +293,7 @@ typedef struct InputFile InputFile;
 typedef struct XmitDetails XmitDetails;
 typedef struct Filemon_Perfile Filemon_Perfile;
 typedef enum StateMachineState StateMachineState;
+typedef struct CliCommand CliCommand;
 
 DEFLIST(Conn);
 DEFLIST(Article);
@@ -291,11 +313,14 @@ static void statemc_setstate(StateMachineState newsms, int periods,
 
 static void statemc_start_flush(const char *why); /* Normal => Flushing */
 static void spawn_inndcomm_flush(const char *why); /* Moved => Flushing */
+static int trigger_flush_ok(const char *why /* 0 means timeout */);
+                                  /* => Flushing,FLUSHING, ret 1; or ret 0 */
 
-static void article_done(Conn *conn, Article *art, int whichcount);
+static void article_done(Article *art, int whichcount);
 
 static void check_assign_articles(void);
 static void queue_check_input_done(void);
+static void check_reading_pause_resume(InputFile *ipf);
 
 static void statemc_check_flushing_done(void);
 static void statemc_check_backlog_done(void);
@@ -306,13 +331,19 @@ static void period(void);
 static void open_defer(void);
 static void close_defer(void);
 static void search_backlog_file(void);
+static void preterminate(void);
+static void raise_default(int signo) NORET;
+static char *debug_report_ipf(InputFile *ipf);
 
 static void inputfile_reading_start(InputFile *ipf);
 static void inputfile_reading_stop(InputFile *ipf);
+static void inputfile_reading_pause(InputFile *ipf);
+static void inputfile_reading_resume(InputFile *ipf);
+  /* pause and resume are idempotent, and no-op if not done _reading_start */
 
 static void filemon_start(InputFile *ipf);
 static void filemon_stop(InputFile *ipf);
-static void filemon_callback(InputFile *ipf);
+static void tailing_make_readable(InputFile *ipf);
 
 static void vconnfail(Conn *conn, const char *fmt, va_list al) PRINTF(2,0);
 static void connfail(Conn *conn, const char *fmt, ...)         PRINTF(2,3);
@@ -320,13 +351,14 @@ static void connfail(Conn *conn, const char *fmt, ...)         PRINTF(2,3);
 static const oop_rd_style peer_rd_style;
 static oop_rd_call peer_rd_err, peer_rd_ok;
 
+
 /*----- configuration options -----*/
 /* when changing defaults, remember to update the manpage */
 
 static const char *sitename, *remote_host;
-static const char *feedfile, *realsockdir="/tmp/innduct.control";
+static const char *feedfile, *path_run, *path_cli, *path_cli_dir;
 static int quiet_multiple=0;
-static int become_daemon=1;
+static int interactive=0, try_filemon=1;
 static int try_stream=1;
 static int port=119;
 static const char *inndconffile;
@@ -334,7 +366,9 @@ static const char *inndconffile;
 static int max_connections=10;
 static int max_queue_per_conn=200;
 static int target_max_feedfile_size=100000;
-static int period_seconds=60;
+static int period_seconds=30;
+static int filepoll_seconds=5;
+static int max_queue_per_ipf=-1;
 
 static int connection_setup_timeout=200;
 static int inndcomm_flush_timeout=100;
@@ -345,10 +379,13 @@ static double nocheck_decay= 100; /* conv'd from articles to lambda by main */
 /* all these are initialised to seconds, and converted to periods in main */
 static int reconnect_delay_periods=1000;
 static int flushfail_retry_periods=1000;
-static int backlog_retry_minperiods=50;
+static int backlog_retry_minperiods=100;
 static int backlog_spontrescan_periods=300;
 static int spontaneous_flush_periods=100000;
+static int max_separated_periods=2000;
 static int need_activity_periods=1000;
+static int lowvol_thresh=3;
+static int lowvol_periods=1000;
 
 static double max_bad_data_ratio= 1; /* conv'd from percentage by main */
 static int max_bad_data_initial= 30;
@@ -365,6 +402,9 @@ typedef enum {      /* in queue                 in conn->sent             */
   art_MaxState,
 } ArtState;
 
+static const char *const artstate_names[]=
+  { "Unchecked", "Wanted", "Unsolicited", 0 };
+
 #define RESULT_COUNTS(RCS,RCN)                 \
   RCS(sent)                                    \
   RCS(accepted)                                        \
@@ -395,13 +435,12 @@ typedef enum {
 #define CONNIOVS 128
 
 typedef enum {
-  xk_Malloc, xk_Const, xk_Artdata
+  xk_Const, xk_Artdata
 } XmitKind;
 
 struct XmitDetails {
   XmitKind kind;
   union {
-    char *malloc_tofree;
     ARTHANDLE *sm_art;
   } info;
 };
@@ -419,12 +458,15 @@ struct InputFile {
   Filemon_Perfile *filemon;
 
   oop_read *rd; /* non-0: reading; 0: constructing, or had EOF */
-  long inprogress; /* no. of articles read but not processed */
   off_t offset;
-  int skippinglong;
+  int skippinglong, paused, fake_readable;
+
+  ArticleList queue;
+  long inprogress; /* includes queue.count and also articles in conns */
+  long autodefer; /* -1 means not doing autodefer */
 
   int counts[art_MaxState][RCI_max];
-  int readcount_ok, readcount_blank, readcount_err;
+  int readcount_ok, readcount_blank, readcount_err, count_nooffer_missing;
   char path[];
 };
 
@@ -462,7 +504,9 @@ struct Conn {
   ISNODE(Conn);
   int fd; /* may be 0, meaning closed (during construction/destruction) */
   oop_read *rd; /* likewise */
-  int max_queue, stream, quitting;
+  int oopwriting; /* since on_fd is not idempotent */
+  int max_queue, stream;
+  const char *quitting;
   int since_activity; /* periods */
   ArticleList waiting; /* not yet told peer */
   ArticleList priority; /* peer says send it now */
@@ -478,21 +522,23 @@ struct Conn {
 /* main initialises */
 static oop_source *loop;
 static ConnList conns;
-static ArticleList queue;
-static char *path_lock, *path_flushing, *path_defer, *path_control;
+static char *path_lock, *path_flushing, *path_defer, *path_dump;
 static char *globpat_backlog;
 static pid_t self_pid;
+static int *lowvol_perperiod;
+static int lowvol_circptr;
+static int lowvol_total; /* does not include current period */
 
 /* statemc_init initialises */
 static StateMachineState sms;
-static FILE *defer;
+static int until_flush;
 static InputFile *main_input_file, *flushing_input_file, *backlog_input_file;
-static int sm_period_counter;
+static FILE *defer;
 
 /* initialisation to 0 is good */
 static int until_connect, until_backlog_nextscan;
 static double accept_proportion;
-static int nocheck, nocheck_reported;
+static int nocheck, nocheck_reported, in_child;
 
 /* for simulation, debugging, etc. */
 int simulate_flush= -1;
@@ -502,7 +548,7 @@ int simulate_flush= -1;
 static void logcore(int sysloglevel, const char *fmt, ...) PRINTF(2,3);
 static void logcore(int sysloglevel, const char *fmt, ...) {
   VA;
-  if (become_daemon) {
+  if (interactive < 2) {
     vsyslog(sysloglevel,fmt,al);
   } else {
     if (self_pid) fprintf(stderr,"[%lu] ",(unsigned long)self_pid);
@@ -516,7 +562,7 @@ static void logv(int sysloglevel, const char *pfx, int errnoval,
                 const char *fmt, va_list al) PRINTF(5,0);
 static void logv(int sysloglevel, const char *pfx, int errnoval,
                 const char *fmt, va_list al) {
-  char msgbuf[256]; /* NB do not call xvasprintf here or you'll recurse */
+  char msgbuf[1024]; /* NB do not call mvasprintf here or you'll recurse */
   vsnprintf(msgbuf,sizeof(msgbuf), fmt,al);
   msgbuf[sizeof(msgbuf)-1]= 0;
 
@@ -532,6 +578,7 @@ static void logv(int sysloglevel, const char *pfx, int errnoval,
 #define diewrap(fn, pfx, sysloglevel, err, estatus)            \
   static void fn(const char *fmt, ...) NORET_PRINTF(1,2);      \
   static void fn(const char *fmt, ...) {                       \
+    preterminate();                                            \
     VA;                                                                \
     logv(sysloglevel, pfx, err, fmt, al);                      \
     exit(estatus);                                             \
@@ -545,33 +592,52 @@ static void logv(int sysloglevel, const char *pfx, int errnoval,
     va_end(al);                                                \
   }
 
-diewrap(sysdie,   " critical", LOG_CRIT,    errno, 16);
-diewrap(die,      " critical", LOG_CRIT,    -1,    16);
+#define INNLOGWRAP_DECLARE(fn, pfx, sysloglevel)                             \
+  static void duct_log_##fn(int errval, const char *fmt, va_list al, int l) { \
+    logv(sysloglevel, pfx, errnoval ? errnoval : -1, fmt, al);               \
+  }
+#define INNLOGWRAP_CALL(fn, pfx, sysloglevel)  \
+  fn##_set_handlers(1, duct_log_##fn);
+
+
+static int innduct_fatal_cleanup(void) { return 12; } /* used for libinn die */
 
-diewrap(sysfatal, " fatal",    LOG_ERR,     errno, 12);
-diewrap(fatal,    " fatal",    LOG_ERR,     -1,    12);
+/* We want to extend the set of logging functions from inn, and we
+ * want to prepend the site name to all our messages. */
 
-logwrap(syswarn,  " warning",  LOG_WARNING, errno);
-logwrap(warn,     " warning",  LOG_WARNING, -1);
+diewrap(syscrash,    " critical", LOG_CRIT,    errno, 16);
+diewrap(crash,       " critical", LOG_CRIT,    -1,    16);
 
-logwrap(notice,   " notice",   LOG_NOTICE,  -1);
-logwrap(info,     " info",     LOG_INFO,    -1);
-logwrap(debug,    " debug",    LOG_DEBUG,   -1);
+diewrap(sysfatal,    " fatal",    LOG_ERR,     errno, 12);
+diewrap(fatal,       " fatal",    LOG_ERR,     -1,    12);
+
+#define INNLOGWRAPS                                    \
+  INNLOGWRAP(warn,   " warning",  LOG_WARNING, errno)  \
+  INNLOGWRAP(notice, " notice",   LOG_NOTICE,  -1)
+INNLOGWRAPS(INNLOGWRAP_DECLARE)
+
+logwrap(info,        " info",     LOG_INFO,    -1);
+logwrap(debug,       " debug",    LOG_DEBUG,   -1);
 
 
 /*========== utility functions etc. ==========*/
 
-static char *xvasprintf(const char *fmt, va_list al) PRINTF(1,0);
-static char *xvasprintf(const char *fmt, va_list al) {
+/* error trapping wrappers are called mfoo rather than the more
+ * conventional xfoo because we don't want to clash with the existing
+ * xfoo functions in INN libs which use different error handlers
+ */
+
+static char *mvasprintf(const char *fmt, va_list al) PRINTF(1,0);
+static char *mvasprintf(const char *fmt, va_list al) {
   char *str;
   int rc= vasprintf(&str,fmt,al);
-  if (rc<0) sysdie("vasprintf(\"%s\",...) failed", fmt);
+  if (rc<0) sysfatal("vasprintf(\"%s\",...) failed", fmt);
   return str;
 }
-static char *xasprintf(const char *fmt, ...) PRINTF(1,2);
-static char *xasprintf(const char *fmt, ...) {
+static char *masprintf(const char *fmt, ...) PRINTF(1,2);
+static char *masprintf(const char *fmt, ...) {
   VA;
-  char *str= xvasprintf(fmt,al);
+  char *str= mvasprintf(fmt,al);
   va_end(al);
   return str;
 }
@@ -582,17 +648,17 @@ static int close_perhaps(int *fd) {
   *fd=0;
   return r;
 }
-static void xclose(int fd, const char *what, const char *what2) {
+static void mclose(int fd, const char *what, const char *what2) {
   int r= close(fd);
-  if (r) sysdie("close %s%s",what,what2?what2:"");
+  if (r) syscrash("close %s%s",what,what2?what2:"");
 }
-static void xclose_perhaps(int *fd, const char *what, const char *what2) {
+static void mclose_perhaps(int *fd, const char *what, const char *what2) {
   if (*fd <= 0) return;
-  xclose(*fd,what,what2);
+  mclose(*fd,what,what2);
   *fd=0;
 }
 
-static pid_t xfork(const char *what) {
+static pid_t mfork(const char *what) {
   pid_t child;
 
   child= fork();
@@ -630,67 +696,91 @@ static void report_child_status(const char *what, int status) {
   }
 }
 
-static int xwaitpid(pid_t *pid, const char *what) {
+static int mwaitpid(pid_t *pid, const char *what) {
   int status;
 
   int r= kill(*pid, SIGKILL);
-  if (r) sysdie("cannot kill %s child", what);
+  if (r) syscrash("cannot kill %s child", what);
 
   pid_t got= waitpid(*pid, &status, 0);
-  if (got==-1) sysdie("cannot reap %s child", what);
-  if (got==0) die("cannot reap %s child", what);
+  if (got==-1) syscrash("cannot reap %s child", what);
+  if (got==0) crash("cannot reap %s child", what);
 
   *pid= 0;
 
   return status;
 }
 
-static void xunlink(const char *path, const char *what) {
+static void *mmalloc(size_t sz) {
+  void *p= malloc(sz);
+  if (!p) sysfatal("unable to malloc %lu bytes",(unsigned long)sz);
+  return p;
+}
+
+static void *zmmalloc(size_t sz) {
+  void *p= mmalloc(sz);
+  memset(p,0,sz);
+  return p;
+}
+
+static void munlink(const char *path, const char *what) {
   int r= unlink(path);
-  if (r) sysdie("can't unlink %s %s", path, what);
+  if (r) syscrash("can't unlink %s %s", path, what);
 }
 
-static time_t xtime(void) {
+static time_t mtime(void) {
   time_t now= time(0);
-  if (now==-1) sysdie("time(2) failed");
+  if (now==-1) syscrash("time(2) failed");
   return now;
 }
 
-static void xgettimeofday(struct timeval *tv_r) {
+static void msigaction(int signo, const struct sigaction *sa) {
+  int r= sigaction(signo,sa,0);
+  if (r) syscrash("sigaction failed for \"%s\"", strsignal(signo));
+}
+
+static void msigsetdefault(int signo) {
+  struct sigaction sa;
+  memset(&sa,0,sizeof(sa));
+  sa.sa_handler= SIG_DFL;
+  msigaction(signo,&sa);
+}
+
+static void mgettimeofday(struct timeval *tv_r) {
   int r= gettimeofday(tv_r,0);
-  if (r) sysdie("gettimeofday(2) failed");
+  if (r) syscrash("gettimeofday(2) failed");
 }
 
-static void xsetnonblock(int fd, int nonblocking) {
+static void msetnonblock(int fd, int nonblocking) {
   int errnoval= oop_fd_nonblock(fd, nonblocking);
-  if (errnoval) { errno= errnoval; sysdie("setnonblocking"); }
+  if (errnoval) { errno= errnoval; syscrash("setnonblocking"); }
 }
 
 static void check_isreg(const struct stat *stab, const char *path,
                        const char *what) {
   if (!S_ISREG(stab->st_mode))
-    die("%s %s not a plain file (mode 0%lo)",
-       what, path, (unsigned long)stab->st_mode);
+    crash("%s %s not a plain file (mode 0%lo)",
+         what, path, (unsigned long)stab->st_mode);
 }
 
-static void xfstat(int fd, struct stat *stab_r, const char *what) {
+static void mfstat(int fd, struct stat *stab_r, const char *what) {
   int r= fstat(fd, stab_r);
-  if (r) sysdie("could not fstat %s", what);
+  if (r) syscrash("could not fstat %s", what);
 }
 
-static void xfstat_isreg(int fd, struct stat *stab_r,
+static void mfstat_isreg(int fd, struct stat *stab_r,
                         const char *path, const char *what) {
-  xfstat(fd, stab_r, what);
+  mfstat(fd, stab_r, what);
   check_isreg(stab_r, path, what);
 }
 
-static void xlstat_isreg(const char *path, struct stat *stab,
+static void mlstat_isreg(const char *path, struct stat *stab,
                         int *enoent_r /* 0 means ENOENT is fatal */,
                         const char *what) {
   int r= lstat(path, stab);
   if (r) {
     if (errno==ENOENT && enoent_r) { *enoent_r=1; return; }
-    sysdie("could not lstat %s %s", what, path);
+    syscrash("could not lstat %s %s", what, path);
   }
   if (enoent_r) *enoent_r= 0;
   check_isreg(stab, path, what);
@@ -703,15 +793,16 @@ static int samefile(const struct stat *a, const struct stat *b) {
          a->st_dev == b->st_dev);
 }
 
-static char *sanitise(const char *input) {
+static char *sanitise(const char *input, int len) {
   static char sanibuf[100]; /* returns pointer to this buffer! */
 
   const char *p= input;
+  const char *endp= len>=0 ? input+len : 0;
   char *q= sanibuf;
   *q++= '`';
   for (;;) {
     if (q > sanibuf+sizeof(sanibuf)-8) { strcpy(q,"'.."); break; }
-    int c= *p++;
+    int c= (!endp || p<endp) ? *p++ : 0;
     if (!c) { *q++= '\''; *q=0; break; }
     if (c>=' ' && c<=126 && c!='\\') { *q++= c; continue; }
     sprintf(q,"\\x%02x",c);
@@ -724,14 +815,13 @@ static int isewouldblock(int errnoval) {
   return errnoval==EWOULDBLOCK || errnoval==EAGAIN;
 }
 
+/*========== command and control (CLI) connections ==========*/
 
-/*========== command and control connections ==========*/
-
-static int control_master;
+static int cli_master;
 
-typedef struct ControlConn ControlConn;
-struct ControlConn {
-  void (*destroy)(ControlConn*);
+typedef struct CliConn CliConn;
+struct CliConn {
+  void (*destroy)(CliConn*);
   int fd;
   oop_read *rd;
   FILE *out;
@@ -742,69 +832,96 @@ struct ControlConn {
   socklen_t salen;
 };
 
-static const oop_rd_style control_rd_style= {
+static const oop_rd_style cli_rd_style= {
   OOP_RD_DELIM_STRIP, '\n',
   OOP_RD_NUL_FORBID,
   OOP_RD_SHORTREC_FORBID
 };
 
-static void control_destroy(ControlConn *cc) {
+static void cli_destroy(CliConn *cc) {
   cc->destroy(cc);
 }
 
-static void control_checkouterr(ControlConn *cc /* may destroy*/) {
+static void cli_checkouterr(CliConn *cc /* may destroy*/) {
   if (ferror(cc->out) | fflush(cc->out)) {
     info("CTRL%d write error %s", cc->fd, strerror(errno));
-    control_destroy(cc);
+    cli_destroy(cc);
   }
 }
 
-static void control_prompt(ControlConn *cc /* may destroy*/) {
+static void cli_prompt(CliConn *cc /* may destroy*/) {
   fprintf(cc->out, "%s| ", sitename);
-  control_checkouterr(cc);
+  cli_checkouterr(cc);
 }
 
-typedef struct ControlCommand ControlCommand;
-struct ControlCommand {
+struct CliCommand {
   const char *cmd;
-  void (*f)(ControlConn *cc, const ControlCommand *ccmd,
+  void (*f)(CliConn *cc, const CliCommand *ccmd,
            const char *arg, size_t argsz);
   void *xdata;
   int xval;
 };
 
-static const ControlCommand control_commands[];
+static const CliCommand cli_commands[];
 
-#define CCMD(wh)                                                       \
-  static void ccmd_##wh(ControlConn *cc, const ControlCommand *c,      \
+#define CCMD(wh)                                               \
+  static void ccmd_##wh(CliConn *cc, const CliCommand *c,      \
                        const char *arg, size_t argsz)
 
 CCMD(help) {
   fputs("commands:\n", cc->out);
-  const ControlCommand *ccmd;
-  for (ccmd=control_commands; ccmd->cmd; ccmd++)
+  const CliCommand *ccmd;
+  for (ccmd=cli_commands; ccmd->cmd; ccmd++)
     fprintf(cc->out, " %s\n", ccmd->cmd);
+  fputs("NB: permissible arguments are not shown above."
+       "  Not all commands listed are safe.  See innduct(8).\n", cc->out);
+}
+
+CCMD(flush) {
+  int ok= trigger_flush_ok("manual request");
+  if (!ok) fprintf(cc->out,"already flushing (state is %s)\n", sms_names[sms]);
 }
 
+CCMD(stop) {
+  preterminate();
+  notice("terminating (CTRL%d)",cc->fd);
+  raise_default(SIGTERM);
+  abort();
+}
+
+CCMD(dump);
+
+/* messing with our head: */
 CCMD(period) { period(); }
 CCMD(setintarg) { *(int*)c->xdata= atoi(arg); }
 CCMD(setint) { *(int*)c->xdata= c->xval; }
+CCMD(setint_period) { *(int*)c->xdata= c->xval; period(); }
+
+static const CliCommand cli_commands[]= {
+  { "h",             ccmd_help      },
+  { "flush",         ccmd_flush     },
+  { "stop",          ccmd_stop      },
+  { "dump q",        ccmd_dump, 0,0 },
+  { "dump a",        ccmd_dump, 0,1 },
+
+  { "p",             ccmd_period    },
+
+#define POKES(cmd,func)                                                        \
+  { cmd "flush",     func,           &until_flush,             1 },    \
+  { cmd "conn",      func,           &until_connect,           0 },    \
+  { cmd "blscan",    func,           &until_backlog_nextscan,  0 },
+POKES("next ", ccmd_setint)
+POKES("prod ", ccmd_setint_period)
 
-static const ControlCommand control_commands[]= {
-  { "h",             ccmd_help },
-  { "p",             ccmd_period },
   { "pretend flush", ccmd_setintarg, &simulate_flush             },
-  { "poke sm",       ccmd_setint,    &sm_period_counter,       1 },
-  { "poke conn",     ccmd_setint,    &until_connect,           0 },
-  { "poke blscan",   ccmd_setint,    &until_backlog_nextscan,  0 },
   { "wedge blscan",  ccmd_setint,    &until_backlog_nextscan, -1 },
   { 0 }
 };
 
-static void *control_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
-                          const char *errmsg, int errnoval,
-                          const char *data, size_t recsz, void *cc_v) {
-  ControlConn *cc= cc_v;
+static void *cli_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
+                      const char *errmsg, int errnoval,
+                      const char *data, size_t recsz, void *cc_v) {
+  CliConn *cc= cc_v;
 
   if (!data) {
     info("CTRL%d closed", cc->fd);
@@ -814,8 +931,8 @@ static void *control_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
 
   if (recsz == 0) goto prompt;
 
-  const ControlCommand *ccmd;
-  for (ccmd=control_commands; ccmd->cmd; ccmd++) {
+  const CliCommand *ccmd;
+  for (ccmd=cli_commands; ccmd->cmd; ccmd++) {
     int l= strlen(ccmd->cmd);
     if (recsz < l) continue;
     if (recsz > l && data[l] != ' ') continue;
@@ -829,36 +946,36 @@ static void *control_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
   fputs("unknown command; h for help\n", cc->out);
 
  prompt:
-  control_prompt(cc);
+  cli_prompt(cc);
   return OOP_CONTINUE;
 }
 
-static void *control_rd_err(oop_source *lp, oop_read *oread, oop_rd_event ev,
-                           const char *errmsg, int errnoval,
-                           const char *data, size_t recsz, void *cc_v) {
-  ControlConn *cc= cc_v;
+static void *cli_rd_err(oop_source *lp, oop_read *oread, oop_rd_event ev,
+                       const char *errmsg, int errnoval,
+                       const char *data, size_t recsz, void *cc_v) {
+  CliConn *cc= cc_v;
   
   info("CTRL%d read error %s", cc->fd, errmsg);
   cc->destroy(cc);
   return OOP_CONTINUE;
 }
 
-static int control_conn_startup(ControlConn *cc /* may destroy*/,
+static int cli_conn_startup(CliConn *cc /* may destroy*/,
                                const char *how) {
   cc->rd= oop_rd_new_fd(loop, cc->fd, 0,0);
-  if (!cc->rd) { warn("oop_rd_new_fd control failed"); return -1; }
+  if (!cc->rd) { warn("oop_rd_new_fd cli failed"); return -1; }
 
-  int er= oop_rd_read(cc->rd, &control_rd_style, MAX_CONTROL_COMMAND,
-                     control_rd_ok, cc,
-                     control_rd_err, cc);
-  if (er) { errno= er; syswarn("oop_rd_read control failed"); return -1; }
+  int er= oop_rd_read(cc->rd, &cli_rd_style, MAX_CLI_COMMAND,
+                     cli_rd_ok, cc,
+                     cli_rd_err, cc);
+  if (er) { errno= er; syswarn("oop_rd_read cli failed"); return -1; }
 
   info("CTRL%d %s ready", cc->fd, how);
-  control_prompt(cc);
+  cli_prompt(cc);
   return 0;
 }
 
-static void control_stdio_destroy(ControlConn *cc) {
+static void cli_stdio_destroy(CliConn *cc) {
   if (cc->rd) {
     oop_rd_cancel(cc->rd);
     errno= oop_rd_delete_tidy(cc->rd);
@@ -867,18 +984,17 @@ static void control_stdio_destroy(ControlConn *cc) {
   free(cc);
 }
 
-static void control_stdio(void) {
-  ControlConn *cc= xmalloc(sizeof(*cc));
-  memset(cc,0,sizeof(*cc));
-  cc->destroy= control_stdio_destroy;
+static void cli_stdio(void) {
+  NEW_DECL(CliConn *,cc);
+  cc->destroy= cli_stdio_destroy;
 
   cc->fd= 0;
   cc->out= stdout;
-  int r= control_conn_startup(cc,"stdio");
+  int r= cli_conn_startup(cc,"stdio");
   if (r) cc->destroy(cc);
 }
 
-static void control_accepted_destroy(ControlConn *cc) {
+static void cli_accepted_destroy(CliConn *cc) {
   if (cc->rd) {
     oop_rd_cancel(cc->rd);
     oop_rd_delete_kill(cc->rd);
@@ -888,20 +1004,19 @@ static void control_accepted_destroy(ControlConn *cc) {
   free(cc);
 }
 
-static void *control_master_readable(oop_source *lp, int master,
-                                    oop_event ev, void *u) {
-  ControlConn *cc= xmalloc(sizeof(*cc));
-  memset(cc,0,sizeof(*cc));
-  cc->destroy= control_accepted_destroy;
+static void *cli_master_readable(oop_source *lp, int master,
+                                oop_event ev, void *u) {
+  NEW_DECL(CliConn *,cc);
+  cc->destroy= cli_accepted_destroy;
 
   cc->salen= sizeof(cc->sa);
   cc->fd= accept(master, &cc->sa.sa, &cc->salen);
-  if (cc->fd<0) { syswarn("error accepting control connection"); goto x; }
+  if (cc->fd<0) { syswarn("error accepting cli connection"); goto x; }
 
   cc->out= fdopen(cc->fd, "w");
-  if (!cc->out) { syswarn("error fdopening accepted control conn"); goto x; }
+  if (!cc->out) { syswarn("error fdopening accepted cli connection"); goto x; }
 
-  int r= control_conn_startup(cc, "accepted");
+  int r= cli_conn_startup(cc, "accepted");
   if (r) goto x;
 
   return OOP_CONTINUE;
@@ -911,14 +1026,12 @@ static void *control_master_readable(oop_source *lp, int master,
   return OOP_CONTINUE;
 }
 
-#define NOCONTROL(...) do{                                             \
-    syswarn("no control socket, because failed to " __VA_ARGS__);      \
-    goto nocontrol;                                                    \
+#define NOCLI(...) do{                                         \
+    syswarn("no cli listener, because failed to " __VA_ARGS__);        \
+    goto nocli;                                                        \
   }while(0)
 
-static void control_init(void) {
-  char *real=0;
-  
+static void cli_init(void) {
   union {
     struct sockaddr sa;
     struct sockaddr_un un;
@@ -927,91 +1040,73 @@ static void control_init(void) {
   memset(&sa,0,sizeof(sa));
   int maxlen= sizeof(sa.un.sun_path);
 
-  int reallen= readlink(path_control, sa.un.sun_path, maxlen);
-  if (reallen<0) {
-    if (errno != ENOENT)
-      NOCONTROL("readlink control socket symlink path %s", path_control);
-  }
-  if (reallen >= maxlen) {
-    debug("control socket symlink path too long (r=%d)",reallen);
-    xunlink(path_control, "old (overlong) control socket symlink");
-    reallen= -1;
+  if (!path_cli) {
+    info("control command line disabled");
+    return;
   }
-  
-  if (reallen<0) {
-    struct stat stab;
-    int r= lstat(realsockdir,&stab);
-    if (r) {
-      if (errno != ENOENT) NOCONTROL("lstat real socket dir %s", realsockdir);
 
-      r= mkdir(realsockdir, 0700);
-      if (r) NOCONTROL("mkdir real socket dir %s", realsockdir);
-
-    } else {
-      uid_t self= geteuid();
-      if (!S_ISDIR(stab.st_mode) ||
-         stab.st_uid != self ||
-         stab.st_mode & 0077) {
-       warn("no control socket, because real socket directory"
-            " is somehow wrong (ISDIR=%d, uid=%lu (exp.%lu), mode %lo)",
-            !!S_ISDIR(stab.st_mode),
-            (unsigned long)stab.st_uid, (unsigned long)self,
-            (unsigned long)stab.st_mode & 0777UL);
-       goto nocontrol;
-      }
-    }
-
-    real= xasprintf("%s/s%lx.%lx", realsockdir,
-                   (unsigned long)xtime(), (unsigned long)self_pid);
-    int reallen= strlen(real);
+  int pathlen= strlen(path_cli);
+  if (pathlen > maxlen) {
+    warn("no cli listener, because cli socket path %s too long (%d>%d)",
+        path_cli, pathlen, maxlen);
+    return;
+  }
 
-    if (reallen >= maxlen) {
-      warn("no control socket, because tmpnam gave overly-long path"
-          " %s", real);
-      goto nocontrol;
-    }
-    r= symlink(real, path_control);
-    if (r) NOCONTROL("make control socket path %s a symlink to real"
-                    " socket path %s", path_control, real);
-    memcpy(sa.un.sun_path, real, reallen);
+  if (path_cli_dir) {
+    int r= mkdir(path_cli_dir, 0700);
+    if (r && errno!=EEXIST)
+      NOCLI("create cli socket directory %s", path_cli_dir);
   }
 
-  int r= unlink(sa.un.sun_path);
+  int r= unlink(path_cli);
   if (r && errno!=ENOENT)
-    NOCONTROL("remove old real socket %s", sa.un.sun_path);
+    NOCLI("remove old cli socket %s", path_cli);
 
-  control_master= socket(PF_UNIX, SOCK_STREAM, 0);
-  if (control_master<0) NOCONTROL("create new control socket");
+  cli_master= socket(PF_UNIX, SOCK_STREAM, 0);
+  if (cli_master<0) NOCLI("create new cli master socket");
 
+  int sl= pathlen + offsetof(struct sockaddr_un, sun_path);
   sa.un.sun_family= AF_UNIX;
-  int sl= strlen(sa.un.sun_path) + offsetof(struct sockaddr_un, sun_path);
-  r= bind(control_master, &sa.sa, sl);
-  if (r) NOCONTROL("bind to real socket path %s", sa.un.sun_path);
+  memcpy(sa.un.sun_path, path_cli, pathlen);
 
-  r= listen(control_master, 5);
-  if (r) NOCONTROL("listen");
+  r= bind(cli_master, &sa.sa, sl);
+  if (r) NOCLI("bind to cli socket path %s", sa.un.sun_path);
 
-  xsetnonblock(control_master, 1);
+  r= listen(cli_master, 5);
+  if (r) NOCLI("listen to cli master socket");
 
-  loop->on_fd(loop, control_master, OOP_READ, control_master_readable, 0);
-  info("control socket ok, real path %s", sa.un.sun_path);
+  msetnonblock(cli_master, 1);
+
+  loop->on_fd(loop, cli_master, OOP_READ, cli_master_readable, 0);
+  info("cli ready, listening on %s", path_cli);
 
   return;
 
- nocontrol:
-  free(real);
-  xclose_perhaps(&control_master, "control master",0);
+ nocli:
+  mclose_perhaps(&cli_master, "cli master",0);
   return;
 }
 
 /*========== management of connections ==========*/
 
+static void reconnect_blocking_event(void) {
+  until_connect= reconnect_delay_periods;
+}
+
 static void conn_closefd(Conn *conn, const char *msgprefix) {
   int r= close_perhaps(&conn->fd);
   if (r) info("C%d %serror closing socket: %s",
              conn->fd, msgprefix, strerror(errno));
 }
 
+static int conn_busy(Conn *conn) {
+  return
+    conn->waiting.count ||
+    conn->priority.count ||
+    conn->sent.count ||
+    conn->xmitu;
+}
+
 static void conn_dispose(Conn *conn) {
   if (!conn) return;
   if (conn->rd) {
@@ -1025,7 +1120,6 @@ static void conn_dispose(Conn *conn) {
   }
   conn_closefd(conn,"");
   free(conn);
-  until_connect= reconnect_delay_periods;
 }
 
 static void *conn_exception(oop_source *lp, int fd,
@@ -1046,12 +1140,18 @@ static void vconnfail(Conn *conn, const char *fmt, va_list al) {
   memset(requeue,0,sizeof(requeue));
 
   Article *art;
-  while ((art= LIST_REMHEAD(conn->priority))) LIST_ADDTAIL(queue, art);
-  while ((art= LIST_REMHEAD(conn->waiting))) LIST_ADDTAIL(queue, art);
+  
+  while ((art= LIST_REMHEAD(conn->priority)))
+    LIST_ADDTAIL(art->ipf->queue, art);
+
+  while ((art= LIST_REMHEAD(conn->waiting)))
+    LIST_ADDTAIL(art->ipf->queue, art);
+
   while ((art= LIST_REMHEAD(conn->sent))) {
     requeue[art->state]++;
     if (art->state==art_Unsolicited) art->state= art_Unchecked;
-    LIST_ADDTAIL(queue,art);
+    LIST_ADDTAIL(art->ipf->queue,art);
+    check_reading_pause_resume(art->ipf);
   }
 
   int i;
@@ -1059,12 +1159,14 @@ static void vconnfail(Conn *conn, const char *fmt, va_list al) {
   for (i=0, d=conn->xmitd; i<conn->xmitu; i++, d++)
     xmit_free(d);
 
-  char *m= xvasprintf(fmt,al);
-  warn("C%d connection failed (requeueing " RCI_TRIPLE_FMT_BASE "): %s",
-       conn->fd, RCI_TRIPLE_VALS_BASE(requeue, /*nothing*/), m);
+  LIST_REMOVE(conns,conn);
+
+  char *m= mvasprintf(fmt,al);
+  warn("C%d (now %d) connection failed requeueing " RCI_TRIPLE_FMT_BASE ": %s",
+       conn->fd, conns.count, RCI_TRIPLE_VALS_BASE(requeue, /*nothing*/), m);
   free(m);
 
-  LIST_REMOVE(conns,conn);
+  reconnect_blocking_event();
   conn_dispose(conn);
   check_assign_articles();
 }
@@ -1076,17 +1178,56 @@ static void connfail(Conn *conn, const char *fmt, ...) {
   va_end(al);
 }
 
+static void conn_idle_close(Conn *conn, const char *why) {
+  static const char quitcmd[]= "QUIT\r\n";
+  int todo= sizeof(quitcmd)-1;
+  const char *p= quitcmd;
+  for (;;) {
+    int r= write(conn->fd, p, todo);
+    if (r<0) {
+      if (isewouldblock(errno))
+       connfail(conn, "blocked writing QUIT to idle connection");
+      else
+       connfail(conn, "failed to write QUIT to idle connection: %s",
+                strerror(errno));
+      break;
+    }
+    assert(r<=todo);
+    todo -= r;
+    if (!todo) {
+      conn->quitting= why;
+      conn->since_activity= 0;
+      debug("C%d is idle (%s), quitting", conn->fd, why);
+      break;
+    }
+  }
+}
+
+/*
+ * For our last connection, we also shut it down if we have had
+ * less than K in the last L
+ */
 static void check_idle_conns(void) {
   Conn *conn;
-  for (conn=LIST_HEAD(conns); conn; conn=LIST_NEXT(conn))
+
+  int volthisperiod= lowvol_perperiod[lowvol_circptr];
+  lowvol_circptr++;
+  lowvol_circptr %= lowvol_periods;
+  lowvol_total += volthisperiod;
+  lowvol_total -= lowvol_perperiod[lowvol_circptr];
+  lowvol_perperiod[lowvol_circptr]= 0;
+
+  FOR_CONN(conn)
     conn->since_activity++;
+
  search_again:
-  for (conn=LIST_HEAD(conns); conn; conn=LIST_NEXT(conn)) {
+  FOR_CONN(conn) {
     if (conn->since_activity <= need_activity_periods) continue;
 
     /* We need to shut this down */
     if (conn->quitting)
-      connfail(conn,"timed out waiting for response to QUIT");
+      connfail(conn,"timed out waiting for response to QUIT (%s)",
+              conn->quitting);
     else if (conn->sent.count)
       connfail(conn,"timed out waiting for responses");
     else if (conn->waiting.count || conn->priority.count)
@@ -1094,32 +1235,18 @@ static void check_idle_conns(void) {
     else if (conn->xmitu)
       connfail(conn,"peer has been sending responses"
               " before receiving our commands!");
-    else {
-      static const char quitcmd[]= "QUIT\r\n";
-      int todo= sizeof(quitcmd)-1;
-      const char *p= quitcmd;
-      for (;;) {
-       int r= write(conn->fd, p, todo);
-       if (r<0) {
-         if (isewouldblock(errno))
-           connfail(conn, "blocked writing QUIT to idle connection");
-         else
-           connfail(conn, "failed to write QUIT to idle connection: %s",
-                    strerror(errno));
-         break;
-       }
-       assert(r<=todo);
-       todo -= r;
-       if (!todo) {
-         conn->quitting= 1;
-         conn->since_activity= 0;
-         debug("C%d is idle, quitting", conn->fd);
-         break;
-       }
-      }
-    }
+    else
+      conn_idle_close(conn, "no activity");
+    
     goto search_again;
   }
+
+  conn= LIST_HEAD(conns);
+  if (!volthisperiod &&
+      conns.count==1 &&
+      lowvol_total < lowvol_thresh &&
+      !conn_busy(conn))
+    conn_idle_close(conn, "low volume");
 }  
 
 /*---------- making new connections ----------*/
@@ -1129,14 +1256,14 @@ static int connecting_fdpass_sock;
 
 static void connect_attempt_discard(void) {
   if (connecting_child) {
-    int status= xwaitpid(&connecting_child, "connect");
+    int status= mwaitpid(&connecting_child, "connect");
     if (!(WIFEXITED(status) ||
          (WIFSIGNALED(status) && WTERMSIG(status) == SIGKILL)))
       report_child_status("connect", status);
   }
   if (connecting_fdpass_sock) {
     cancel_fd_read_except(connecting_fdpass_sock);
-    xclose_perhaps(&connecting_fdpass_sock, "connecting fdpass socket",0);
+    mclose_perhaps(&connecting_fdpass_sock, "connecting fdpass socket",0);
   }
 }
 
@@ -1167,8 +1294,7 @@ static void *connchild_event(oop_source *lp, int fd, oop_event e, void *u) {
     goto x;
   }
 
-  conn= xmalloc(sizeof(*conn));
-  memset(conn,0,sizeof(*conn));
+  NEW(conn);
   LIST_INIT(conn->waiting);
   LIST_INIT(conn->priority);
   LIST_INIT(conn->sent);
@@ -1176,7 +1302,7 @@ static void *connchild_event(oop_source *lp, int fd, oop_event e, void *u) {
   struct cmsghdr *h= 0;
   if (rs >= 0) h= CMSG_FIRSTHDR(&msg);
   if (!h) {
-    int status= xwaitpid(&connecting_child, "connect child (broken)");
+    int status= mwaitpid(&connecting_child, "connect child (broken)");
 
     if (WIFEXITED(status)) {
       if (WEXITSTATUS(status) != 0 &&
@@ -1201,24 +1327,24 @@ static void *connchild_event(oop_source *lp, int fd, oop_event e, void *u) {
     goto x;
   }
 
-#define CHK(field, val)                                                         \
-  if (h->cmsg_##field != val) {                                                 \
-    die("connect: child sent cmsg with cmsg_" #field "=%d, expected %d", \
-       h->cmsg_##field, val);                                           \
-    goto x;                                                             \
+#define CHK(field, val)                                                           \
+  if (h->cmsg_##field != val) {                                                   \
+    crash("connect: child sent cmsg with cmsg_" #field "=%d, expected %d", \
+         h->cmsg_##field, val);                                           \
+    goto x;                                                               \
   }
   CHK(level, SOL_SOCKET);
   CHK(type,  SCM_RIGHTS);
   CHK(len,   CMSG_LEN(sizeof(conn->fd)));
 #undef CHK
 
-  if (CMSG_NXTHDR(&msg,h)) die("connect: child sent many cmsgs");
+  if (CMSG_NXTHDR(&msg,h)) crash("connect: child sent many cmsgs");
 
   memcpy(&conn->fd, CMSG_DATA(h), sizeof(conn->fd));
 
   int status;
   pid_t got= waitpid(connecting_child, &status, 0);
-  if (got==-1) sysdie("connect: real wait for child");
+  if (got==-1) syscrash("connect: real wait for child");
   assert(got == connecting_child);
   connecting_child= 0;
 
@@ -1236,14 +1362,15 @@ static void *connchild_event(oop_source *lp, int fd, oop_event e, void *u) {
 
   loop->on_fd(loop, conn->fd, OOP_EXCEPTION, conn_exception, conn);
   conn->rd= oop_rd_new_fd(loop,conn->fd, 0, 0); /* sets nonblocking, too */
-  if (!conn->fd) die("oop_rd_new_fd conn failed (fd=%d)",conn->fd);
+  if (!conn->fd) crash("oop_rd_new_fd conn failed (fd=%d)",conn->fd);
   int r= oop_rd_read(conn->rd, &peer_rd_style, NNTP_STRLEN,
                     &peer_rd_ok, conn,
                     &peer_rd_err, conn);
-  if (r) sysdie("oop_rd_read for peer (fd=%d)",conn->fd);
+  if (r) syscrash("oop_rd_read for peer (fd=%d)",conn->fd);
 
-  notice("C%d connected %s", conn->fd, conn->stream ? "streaming" : "plain");
   LIST_ADDHEAD(conns, conn);
+  notice("C%d (now %d) connected %s",
+        conn->fd, conns.count, conn->stream ? "streaming" : "plain");
 
   connect_attempt_discard();
   check_assign_articles();
@@ -1252,6 +1379,7 @@ static void *connchild_event(oop_source *lp, int fd, oop_event e, void *u) {
  x:
   conn_dispose(conn);
   connect_attempt_discard();
+  reconnect_blocking_event();
   return OOP_CONTINUE;
 }
 
@@ -1266,19 +1394,21 @@ static void connect_start(void) {
   assert(!connecting_fdpass_sock);
 
   info("starting connection attempt");
+  int ok_until_connect= until_connect;
+  reconnect_blocking_event();
 
   int socks[2];
   int r= socketpair(AF_UNIX, SOCK_STREAM, 0, socks);
   if (r) { syswarn("connect: cannot create socketpair for child"); return; }
 
-  connecting_child= xfork("connection");
+  connecting_child= mfork("connection");
 
   if (!connecting_child) {
     FILE *cn_from, *cn_to;
     char buf[NNTP_STRLEN+100];
     int exitstatus= CONNCHILD_ESTATUS_NOSTREAM;
 
-    xclose(socks[0], "(in child) parent's connection fdpass socket",0);
+    mclose(socks[0], "(in child) parent's connection fdpass socket",0);
 
     alarm(connection_setup_timeout);
     if (NNTPconnect((char*)remote_host, port, &cn_from, &cn_to, buf) < 0) {
@@ -1295,7 +1425,7 @@ static void connect_start(void) {
       } else {
        buf[l]= 0;
        fatal("connect: %s: %s", stripped ? "rejected" : "failed",
-             sanitise(buf));
+             sanitise(buf,-1));
       }
     }
     if (NNTPsendpassword((char*)remote_host, cn_from, cn_to) < 0)
@@ -1315,13 +1445,13 @@ static void connect_start(void) {
       assert(l>=1);
       if (buf[l-1]!='\n')
        fatal("connect: response to MODE STREAM is too long: %.100s...",
-             sanitise(buf));
+             sanitise(buf,-1));
       l--;  if (l>0 && buf[l-1]=='\r') l--;
       buf[l]= 0;
       char *ep;
       int rcode= strtoul(buf,&ep,10);
       if (ep != &buf[3])
-       fatal("connect: bad response to MODE STREAM: %.50s", sanitise(buf));
+       fatal("connect: bad response to MODE STREAM: %.50s", sanitise(buf,-1));
 
       switch (rcode) {
       case 203:
@@ -1332,7 +1462,7 @@ static void connect_start(void) {
        break;
       default:
        warn("connect: unexpected response to MODE STREAM: %.50s",
-            sanitise(buf));
+            sanitise(buf,-1));
        exitstatus= 2;
        break;
       }
@@ -1348,23 +1478,44 @@ static void connect_start(void) {
 
     msg.msg_controllen= cmsg->cmsg_len;
     r= sendmsg(socks[1], &msg, 0);
-    if (r<0) sysdie("sendmsg failed for new connection");
-    if (r!=1) die("sendmsg for new connection gave wrong result %d",r);
+    if (r<0) syscrash("sendmsg failed for new connection");
+    if (r!=1) crash("sendmsg for new connection gave wrong result %d",r);
 
     _exit(exitstatus);
   }
 
-  xclose(socks[1], "connecting fdpass child's socket",0);
+  mclose(socks[1], "connecting fdpass child's socket",0);
   connecting_fdpass_sock= socks[0];
-  xsetnonblock(connecting_fdpass_sock, 1);
+  msetnonblock(connecting_fdpass_sock, 1);
   on_fd_read_except(connecting_fdpass_sock, connchild_event);
+
+  if (!conns.count)
+    until_connect= ok_until_connect;
 }
 
 /*---------- assigning articles to conns, and transmitting ----------*/
 
+static Article *dequeue_from(int peek, InputFile *ipf) {
+  if (!ipf) return 0;
+  if (peek) return LIST_HEAD(ipf->queue);
+
+  Article *art= LIST_REMHEAD(ipf->queue);
+  if (!art) return 0;
+  check_reading_pause_resume(ipf);
+  return art;
+}
+
+static Article *dequeue(int peek) {
+  Article *art;
+  art= dequeue_from(peek, flushing_input_file);  if (art) return art;
+  art= dequeue_from(peek, backlog_input_file);   if (art) return art;
+  art= dequeue_from(peek, main_input_file);      if (art) return art;
+  return 0;
+}
+
 static void check_assign_articles(void) {
   for (;;) {
-    if (!queue.count)
+    if (!dequeue(1))
       break;
 
     Conn *walk, *use=0;
@@ -1376,7 +1527,7 @@ static void check_assign_articles(void) {
      * connections in order.  That way if we have too many
      * connections, the spare ones will go away eventually.
      */
-    for (walk=LIST_HEAD(conns); walk; walk=LIST_NEXT(walk)) {
+    FOR_CONN(walk) {
       if (walk->quitting) continue;
       inqueue= walk->sent.count + walk->priority.count
             + walk->waiting.count;
@@ -1389,14 +1540,14 @@ static void check_assign_articles(void) {
     if (use) {
       if (!inqueue) use->since_activity= 0; /* reset idle counter */
       while (spare>0) {
-       Article *art= LIST_REMHEAD(queue);
+       Article *art= dequeue(0);
        if (!art) break;
        LIST_ADDTAIL(use->waiting, art);
+       lowvol_perperiod[lowvol_circptr]++;
        spare--;
       }
       conn_maybe_write(use);
     } else if (allow_connect_start()) {
-      until_connect= reconnect_delay_periods;
       connect_start();
       break;
     } else {
@@ -1415,12 +1566,16 @@ static void conn_maybe_write(Conn *conn)  {
     conn_make_some_xmits(conn);
     if (!conn->xmitu) {
       loop->cancel_fd(loop, conn->fd, OOP_WRITE);
+      conn->oopwriting= 0;
       return;
     }
 
     void *rp= conn_write_some_xmits(conn);
     if (rp==OOP_CONTINUE) {
-      loop->on_fd(loop, conn->fd, OOP_WRITE, conn_writeable, conn);
+      if (!conn->oopwriting) {
+       loop->on_fd(loop, conn->fd, OOP_WRITE, conn_writeable, conn);
+       conn->oopwriting= 1;
+      }
       return;
     } else if (rp==OOP_HALT) {
       return;
@@ -1432,6 +1587,112 @@ static void conn_maybe_write(Conn *conn)  {
   }
 }
 
+/*---------- expiry, flow control and deferral ----------*/
+
+/*
+ * flow control notes
+ * to ensure articles go away eventually
+ * separate queue for each input file
+ *   queue expiry
+ *     every period, check head of backlog queue for expiry with SMretrieve
+ *       if too old: discard, and check next article
+ *     also check every backlog article as we read it
+ *   flush expiry
+ *     after too long in SEPARATED/DROPPING ie Separated/Finishing/Dropping
+ *     one-off: eat queued articles from flushing and write them to defer
+ *     one-off: connfail all connections which have any articles from flushing
+ *     newly read articles from flushing go straight to defer
+ *     this should take care of it and get us out of this state
+ * to avoid filling up ram needlessly
+ *   input control
+ *     limit number of queued articles for each ipf
+ *     pause/resume inputfile tailing
+ */
+
+static void check_reading_pause_resume(InputFile *ipf) {
+  if (ipf->queue.count >= max_queue_per_ipf)
+    inputfile_reading_pause(ipf);
+  else
+    inputfile_reading_resume(ipf);
+}
+
+static void article_defer(Article *art /* not on a queue */, int whichcount) {
+  open_defer();
+  if (fprintf(defer, "%s %s\n", TokenToText(art->token), art->messageid) <0
+      || fflush(defer))
+    sysfatal("write to defer file %s",path_defer);
+  article_done(art, whichcount);
+}
+
+static int article_check_expired(Article *art /* must be queued, not conn */) {
+  ARTHANDLE *artdata= SMretrieve(art->token, RETR_STAT);
+  if (artdata) { SMfreearticle(artdata); return 0; }
+
+  LIST_REMOVE(art->ipf->queue, art);
+  art->missing= 1;
+  art->ipf->count_nooffer_missing++;
+  article_done(art,-1);
+  return 1;
+}
+
+static void inputfile_queue_check_expired(InputFile *ipf) {
+  if (!ipf) return;
+
+  for (;;) {
+    Article *art= LIST_HEAD(ipf->queue);
+    int exp= article_check_expired(art);
+    if (!exp) break;
+  }
+  check_reading_pause_resume(ipf);
+}
+
+static void article_autodefer(InputFile *ipf, Article *art) {
+  ipf->autodefer++;
+  article_defer(art,-1);
+}
+
+static int has_article_in(const ArticleList *al, InputFile *ipf) {
+  Article *art;
+  for (art=LIST_HEAD(*al); art; art=LIST_NEXT(art))
+    if (art->ipf == ipf) return 1;
+  return 0;
+}
+
+static void autodefer_input_file_articles(InputFile *ipf) {
+  Article *art;
+  while ((art= LIST_REMHEAD(ipf->queue)))
+    article_autodefer(ipf, art);
+}
+
+static void autodefer_input_file(InputFile *ipf) {
+  static const char *const abandon= "stuck";
+  ipf->autodefer= 0;
+
+  autodefer_input_file_articles(ipf);
+
+  if (ipf->inprogress) {
+    Conn *walk;
+    FOR_CONN(walk) {
+      if (has_article_in(&walk->waiting,  ipf) ||
+         has_article_in(&walk->priority, ipf) ||
+         has_article_in(&walk->sent,     ipf))
+       walk->quitting= abandon;
+    }
+    while (ipf->inprogress) {
+      FOR_CONN(walk)
+       if (walk->quitting == abandon) goto found;
+      abort(); /* where are they ?? */
+
+    found:
+      connfail(walk, "connection is stuck or crawling,"
+              " and we need to finish flush");
+      autodefer_input_file_articles(ipf);
+    }
+  }
+
+  check_reading_pause_resume(ipf);
+}
+
 /*========== article transmission ==========*/
 
 static XmitDetails *xmit_core(Conn *conn, const char *data, int len,
@@ -1456,7 +1717,6 @@ static void xmit_artbody(Conn *conn, ARTHANDLE *ah /* consumed */) {
 
 static void xmit_free(XmitDetails *d) {
   switch (d->kind) {
-  case xk_Malloc:  free(d->info.malloc_tofree);   break;
   case xk_Artdata: SMfreearticle(d->info.sm_art); break;
   case xk_Const:                                  break;
   default: abort();
@@ -1483,15 +1743,18 @@ static void *conn_write_some_xmits(Conn *conn) {
     assert(rs > 0);
 
     int done;
-    for (done=0; rs && done<conn->xmitu; done++) {
+    for (done=0; rs; ) {
+      assert(done<conn->xmitu);
       struct iovec *vp= &conn->xmit[done];
       XmitDetails *dp= &conn->xmitd[done];
-      if (rs > vp->iov_len) {
+      if (rs >= vp->iov_len) {
        rs -= vp->iov_len;
-       xmit_free(dp);
+       xmit_free(dp); /* vp->iov_len -= vp->iov_len, etc. */
+       done++;
       } else {
        vp->iov_base= (char*)vp->iov_base + rs;
        vp->iov_len -= rs;
+       break; /* rs -= rs */
       }
     }
     int newu= conn->xmitu - done;
@@ -1530,7 +1793,7 @@ static void conn_make_some_xmits(Conn *conn) {
          XMIT_LITERAL("\r\n");
          xmit_artbody(conn, artdata);
        } else {
-         article_done(conn, art, -1);
+         article_done(art, -1);
          continue;
        }
       } else {
@@ -1561,7 +1824,6 @@ static void conn_make_some_xmits(Conn *conn) {
   }
 }
 
-
 /*========== handling responses from peer ==========*/
 
 static const oop_rd_style peer_rd_style= {
@@ -1651,8 +1913,9 @@ static void update_nocheck(int accepted) {
   nocheck= new_nocheck;
 }
 
-static void article_done(Conn *conn, Article *art, int whichcount) {
-  if (!art->missing) art->ipf->counts[art->state][whichcount]++;
+static void article_done(Article *art, int whichcount) {
+  if (whichcount>=0 && !art->missing)
+    art->ipf->counts[art->state][whichcount]++;
 
   if (whichcount == RC_accepted) update_nocheck(1);
   else if (whichcount == RC_unwanted) update_nocheck(0);
@@ -1674,9 +1937,9 @@ static void article_done(Conn *conn, Article *art, int whichcount) {
     int r= pwrite(ipf->fd, spaces, w, art->offset);
     if (r==-1) {
       if (errno==EINTR) continue;
-      sysdie("failed to blank entry for %s (length %d at offset %lu) in %s",
-            art->messageid, art->blanklen,
-            (unsigned long)art->offset, ipf->path);
+      syscrash("failed to blank entry for %s (length %d at offset %lu) in %s",
+              art->messageid, art->blanklen,
+              (unsigned long)art->offset, ipf->path);
     }
     assert(r>=0 && r<=w);
     art->blanklen -= w;
@@ -1702,7 +1965,7 @@ static void *peer_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
   }
   assert(ev == OOP_RD_OK);
 
-  char *sani= sanitise(data);
+  char *sani= sanitise(data,-1);
 
   char *ep;
   unsigned long code= strtoul(data, &ep, 10);
@@ -1711,16 +1974,17 @@ static void *peer_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
     return OOP_CONTINUE;
   }
 
+  int busy= conn_busy(conn);
+
   if (conn->quitting) {
-    if (code!=205 && code!=503) {
-      connfail(conn, "peer gave unexpected response to QUIT: %s", sani);
+    if (code!=205 && code!=400) {
+      connfail(conn, "peer gave unexpected response to QUIT (%s): %s",
+              conn->quitting, sani);
     } else {
-      notice("C%d idle connection closed", conn->fd);
-      assert(!conn->waiting.count);
-      assert(!conn->priority.count);
-      assert(!conn->sent.count);
-      assert(!conn->xmitu);
       LIST_REMOVE(conns,conn);
+      notice("C%d (now %d) idle connection closed (%s)",
+            conn->fd, conns.count, conn->quitting);
+      assert(!busy);
       conn_dispose(conn);
     }
     return OOP_CONTINUE;
@@ -1729,25 +1993,38 @@ static void *peer_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
   conn->since_activity= 0;
   Article *art;
 
-#define GET_ARTICLE(musthavesent)                                          \
-  art= article_reply_check(conn, data, code_streaming, musthavesent, sani); \
-  if (art) ; else return OOP_CONTINUE /* reply_check has failed the conn */
+#define GET_ARTICLE(musthavesent) do{                                        \
+    art= article_reply_check(conn, data, code_streaming, musthavesent, sani); \
+    if (!art) return OOP_CONTINUE; /* reply_check has failed the conn */      \
+  }while(0) 
 
-#define ARTICLE_DEALTWITH(streaming,musthavesent,how)          \
-  code_streaming= (streaming);                                 \
-  GET_ARTICLE(musthavesent);                                   \
-  article_done(conn, art, RC_##how);  break;
+#define ARTICLE_DEALTWITH(streaming,musthavesent,how) do{      \
+    code_streaming= (streaming);                               \
+    GET_ARTICLE(musthavesent);                                 \
+    article_done(art, RC_##how);                               \
+    goto dealtwith;                                            \
+  }while(0)
 
-#define PEERBADMSG(m) connfail(conn, m ": %s", sani);  return OOP_CONTINUE
+#define PEERBADMSG(m) do {                                     \
+    connfail(conn, m ": %s", sani);  return OOP_CONTINUE;      \
+  }while(0)
 
   int code_streaming= 0;
 
   switch (code) {
 
-  case 400: PEERBADMSG("peer stopped accepting articles");
-  case 503: PEERBADMSG("peer timed us out");
   default:  PEERBADMSG("peer sent unexpected message");
 
+  case 400:
+    if (busy)
+      PEERBADMSG("peer timed us out or stopped accepting articles");
+
+    LIST_REMOVE(conns,conn);
+    notice("C%d (now %d) idle connection closed by peer",
+          conns.count, conn->fd);
+    conn_dispose(conn);
+    return OOP_CONTINUE;
+
   case 435: ARTICLE_DEALTWITH(0,0,unwanted); /* IHAVE says they have it */
   case 438: ARTICLE_DEALTWITH(1,0,unwanted); /* CHECK/TAKETHIS: they have it */
 
@@ -1771,14 +2048,11 @@ static void *peer_rd_ok(oop_source *lp, oop_read *oread, oop_rd_event ev,
     code_streaming= 1;
   case 436: /* IHAVE says try later */
     GET_ARTICLE(0);
-    open_defer();
-    if (fprintf(defer, "%s %s\n", TokenToText(art->token), art->messageid) <0
-       || fflush(defer))
-      sysfatal("write to defer file %s",path_defer);
-    article_done(conn, art, RC_deferred);
+    article_defer(art, RC_deferred);
     break;
 
   }
+dealtwith:
 
   conn_maybe_write(conn);
   check_assign_articles();
@@ -1811,10 +2085,12 @@ static InputFile *open_input_file(const char *path) {
   }
   assert(fd>0);
 
-  InputFile *ipf= xmalloc(sizeof(*ipf) + strlen(path) + 1);
+  InputFile *ipf= mmalloc(sizeof(*ipf) + strlen(path) + 1);
   memset(ipf,0,sizeof(*ipf));
 
   ipf->fd= fd;
+  ipf->autodefer= -1;
+  LIST_INIT(ipf->queue);
   strcpy(ipf->path, path);
 
   return ipf;
@@ -1825,7 +2101,7 @@ static void close_input_file(InputFile *ipf) { /* does not free */
   assert(!ipf->filemon); /* must have had inputfile_reading_stop */
   assert(!ipf->rd); /* must have had inputfile_reading_stop */
   assert(!ipf->inprogress); /* no dangling pointers pointing here */
-  xclose_perhaps(&ipf->fd, "input file ", ipf->path);
+  mclose_perhaps(&ipf->fd, "input file ", ipf->path);
 }
 
 
@@ -1834,12 +2110,12 @@ static void close_input_file(InputFile *ipf) { /* does not free */
 static void *feedfile_got_bad_data(InputFile *ipf, off_t offset,
                                   const char *data, const char *how) {
   warn("corrupted file: %s, offset %lu: %s: in %s",
-       ipf->path, (unsigned long)offset, how, sanitise(data));
+       ipf->path, (unsigned long)offset, how, sanitise(data,-1));
   ipf->readcount_err++;
   if (ipf->readcount_err > max_bad_data_initial +
       (ipf->readcount_ok+ipf->readcount_blank) / max_bad_data_ratio)
-    die("too much garbage in input file!  (%d errs, %d ok, %d blank)",
-       ipf->readcount_err, ipf->readcount_ok, ipf->readcount_blank);
+    crash("too much garbage in input file!  (%d errs, %d ok, %d blank)",
+         ipf->readcount_err, ipf->readcount_ok, ipf->readcount_blank);
   return OOP_CONTINUE;
 }
 
@@ -1850,8 +2126,8 @@ static void *feedfile_read_err(oop_source *lp, oop_read *rd,
   InputFile *ipf= ipf_v;
   assert(ev == OOP_RD_SYSTEM);
   errno= errnoval;
-  sysdie("error reading input file: %s, offset %lu",
-        ipf->path, (unsigned long)ipf->offset);
+  syscrash("error reading input file: %s, offset %lu",
+          ipf->path, (unsigned long)ipf->offset);
 }
 
 static void *feedfile_got_article(oop_source *lp, oop_read *rd,
@@ -1865,7 +2141,7 @@ static void *feedfile_got_article(oop_source *lp, oop_read *rd,
   if (!data) { feedfile_eof(ipf); return OOP_CONTINUE; }
 
   off_t old_offset= ipf->offset;
-  ipf->offset += recsz + 1;
+  ipf->offset += recsz + !!(ev == OOP_RD_OK);
 
 #define X_BAD_DATA(m) return feedfile_got_bad_data(ipf,old_offset,data,m);
 
@@ -1904,7 +2180,8 @@ static void *feedfile_got_article(oop_source *lp, oop_read *rd,
 
   ipf->readcount_ok++;
 
-  art= xmalloc(sizeof(*art) - 1 + midlen + 1);
+  art= mmalloc(sizeof(*art) - 1 + midlen + 1);
+  memset(art,0,sizeof(*art));
   art->state= art_Unchecked;
   art->midlen= midlen;
   art->ipf= ipf;  ipf->inprogress++;
@@ -1912,13 +2189,19 @@ static void *feedfile_got_article(oop_source *lp, oop_read *rd,
   art->offset= old_offset;
   art->blanklen= recsz;
   strcpy(art->messageid, space+1);
-  LIST_ADDTAIL(queue, art);
+  LIST_ADDTAIL(ipf->queue, art);
+
+  if (ipf->autodefer >= 0)
+    article_autodefer(ipf, art);
+  else if (ipf==backlog_input_file)
+    article_check_expired(art);
 
   if (sms==sm_NORMAL && ipf==main_input_file &&
       ipf->offset >= target_max_feedfile_size)
     statemc_start_flush("feed file size");
 
-  check_assign_articles();
+  check_assign_articles(); /* may destroy conn but that's OK */
+  check_reading_pause_resume(ipf);
   return OOP_CONTINUE;
 }
 
@@ -1926,7 +2209,16 @@ static void *feedfile_got_article(oop_source *lp, oop_read *rd,
 
 static void *tailing_rable_call_time(oop_source *loop, struct timeval tv,
                                     void *user) {
+  /* lifetime of ipf here is OK because destruction will cause
+   * on_cancel which will cancel this callback */
   InputFile *ipf= user;
+
+  if (!ipf->fake_readable) return OOP_CONTINUE;
+
+  /* we just keep calling readable until our caller (oop_rd)
+   * has called try_read, and try_read has found EOF so given EAGAIN */
+  loop->on_time(loop, OOP_TIME_NOW, tailing_rable_call_time, ipf);
+
   return ipf->readable_callback(loop, &ipf->readable,
                                ipf->readable_callback_user);
 }
@@ -1939,9 +2231,10 @@ static void tailing_on_cancel(struct oop_readable *rable) {
   ipf->readable_callback= 0;
 }
 
-static void tailing_queue_readable(InputFile *ipf) {
-  /* lifetime of ipf here is OK because destruction will cause
-   * on_cancel which will cancel this callback */
+static void tailing_make_readable(InputFile *ipf) {
+  if (!ipf || !ipf->readable_callback) /* so callers can be naive */
+    return;
+  ipf->fake_readable= 1;
   loop->on_time(loop, OOP_TIME_NOW, tailing_rable_call_time, ipf);
 }
 
@@ -1953,8 +2246,7 @@ static int tailing_on_readable(struct oop_readable *rable,
   ipf->readable_callback= cb;
   ipf->readable_callback_user= user;
   filemon_start(ipf);
-
-  tailing_queue_readable(ipf);
+  tailing_make_readable(ipf);
   return 0;
 }
 
@@ -1965,11 +2257,13 @@ static ssize_t tailing_try_read(struct oop_readable *rable, void *buffer,
     ssize_t r= read(ipf->fd, buffer, length);
     if (r==-1) {
       if (errno==EINTR) continue;
+      ipf->fake_readable= 0;
       return r;
     }
     if (!r) {
       if (ipf==main_input_file) {
        errno=EAGAIN;
+       ipf->fake_readable= 0;
        return -1;
       } else if (ipf==flushing_input_file) {
        assert(ipf->rd);
@@ -1980,7 +2274,6 @@ static ssize_t tailing_try_read(struct oop_readable *rable, void *buffer,
        abort();
       }
     }
-    tailing_queue_readable(ipf);
     return r;
   }
 }
@@ -2026,7 +2319,7 @@ static void filemon_method_stopfile(InputFile *ipf, Filemon_Perfile *pf) {
   int wd= pf->wd;
   debug("filemon inotify stopfile %p wd=%d", ipf, wd);
   int r= inotify_rm_watch(filemon_inotify_fd, wd);
-  if (r) sysdie("inotify_rm_watch");
+  if (r) syscrash("inotify_rm_watch");
   filemon_inotify_wd2ipf[wd]= 0;
 }
 
@@ -2037,15 +2330,15 @@ static void *filemon_inotify_readable(oop_source *lp, int fd,
     int r= read(filemon_inotify_fd, &iev, sizeof(iev));
     if (r==-1) {
       if (isewouldblock(errno)) break;
-      sysdie("read from inotify master");
+      syscrash("read from inotify master");
     } else if (r==sizeof(iev)) {
       assert(iev.wd >= 0 && iev.wd < filemon_inotify_wdmax);
     } else {
-      die("inotify read %d bytes wanted struct of %d", r, (int)sizeof(iev));
+      crash("inotify read %d bytes wanted struct of %d", r, (int)sizeof(iev));
     }
     InputFile *ipf= filemon_inotify_wd2ipf[iev.wd];
-    debug("filemon inotify readable read %d wd=%p", iev.wd, ipf);
-    filemon_callback(ipf);
+    /*debug("filemon inotify readable read %p wd=%d", ipf, iev.wd);*/
+    tailing_make_readable(ipf);
   }
   return OOP_CONTINUE;
 }
@@ -2056,13 +2349,22 @@ static int filemon_method_init(void) {
     syswarn("filemon/inotify: inotify_init failed");
     return 0;
   }
-  xsetnonblock(filemon_inotify_fd, 1);
+  msetnonblock(filemon_inotify_fd, 1);
   loop->on_fd(loop, filemon_inotify_fd, OOP_READ, filemon_inotify_readable, 0);
 
   debug("filemon inotify init filemon_inotify_fd=%d", filemon_inotify_fd);
   return 1;
 }
 
+static void filemon_method_dump_info(FILE *f) {
+  int i;
+  fprintf(f,"inotify");
+  DUMPV("%d",,filemon_inotify_fd);
+  DUMPV("%d",,filemon_inotify_wdmax);
+  for (i=0; i<filemon_inotify_wdmax; i++)
+    fprintf(f," wd2ipf[%d]=%p\n", i, filemon_inotify_wd2ipf[i]);
+}
+
 #endif /* HAVE_INOTIFY && !HAVE_FILEMON */
 
 /*---------- filemon dummy implementation ----------*/
@@ -2077,6 +2379,7 @@ static int filemon_method_init(void) {
 }
 static void filemon_method_startfile(InputFile *ipf, Filemon_Perfile *pf) { }
 static void filemon_method_stopfile(InputFile *ipf, Filemon_Perfile *pf) { }
+static void filemon_method_dump_info(FILE *f) { fprintf(f,"dummy\n"); }
 
 #endif /* !HAVE_FILEMON */
 
@@ -2085,8 +2388,7 @@ static void filemon_method_stopfile(InputFile *ipf, Filemon_Perfile *pf) { }
 static void filemon_start(InputFile *ipf) {
   assert(!ipf->filemon);
 
-  ipf->filemon= xmalloc(sizeof(*ipf->filemon));
-  memset(ipf->filemon, 0, sizeof(*ipf->filemon));
+  NEW(ipf->filemon);
   filemon_method_startfile(ipf, ipf->filemon);
 }
 
@@ -2097,11 +2399,6 @@ static void filemon_stop(InputFile *ipf) {
   ipf->filemon= 0;
 }
 
-static void filemon_callback(InputFile *ipf) {
-  if (ipf && ipf->readable_callback) /* so filepoll() can be naive */
-    ipf->readable_callback(loop, &ipf->readable, ipf->readable_callback_user);
-}
-
 /*---------- interface to start and stop an input file ----------*/
 
 static const oop_rd_style feedfile_rdstyle= {
@@ -2110,6 +2407,24 @@ static const oop_rd_style feedfile_rdstyle= {
   OOP_RD_SHORTREC_LONG,
 };
 
+static void inputfile_reading_resume(InputFile *ipf) {
+  if (!ipf->rd) return;
+  if (!ipf->paused) return;
+
+  int r= oop_rd_read(ipf->rd, &feedfile_rdstyle, MAX_LINE_FEEDFILE,
+                    feedfile_got_article,ipf, feedfile_read_err, ipf);
+  if (r) syscrash("unable start reading feedfile %s",ipf->path);
+
+  ipf->paused= 0;
+}
+
+static void inputfile_reading_pause(InputFile *ipf) {
+  if (!ipf->rd) return;
+  if (ipf->paused) return;
+  oop_rd_cancel(ipf->rd);
+  ipf->paused= 1;
+}
+
 static void inputfile_reading_start(InputFile *ipf) {
   assert(!ipf->rd);
   ipf->readable.on_readable= tailing_on_readable;
@@ -2124,14 +2439,13 @@ static void inputfile_reading_start(InputFile *ipf) {
   ipf->rd= oop_rd_new(loop, &ipf->readable, 0,0);
   assert(ipf->rd);
 
-  int r= oop_rd_read(ipf->rd, &feedfile_rdstyle, MAX_LINE_FEEDFILE,
-                    feedfile_got_article,ipf, feedfile_read_err, ipf);
-  if (r) sysdie("unable start reading feedfile %s",ipf->path);
+  ipf->paused= 1;
+  inputfile_reading_resume(ipf);
 }
 
 static void inputfile_reading_stop(InputFile *ipf) {
   assert(ipf->rd);
-  oop_rd_cancel(ipf->rd);
+  inputfile_reading_pause(ipf);
   oop_rd_delete(ipf->rd);
   ipf->rd= 0;
   assert(!ipf->filemon); /* we shouldn't be monitoring it now */
@@ -2200,7 +2514,7 @@ static void inputfile_reading_stop(InputFile *ipf) {
      |      flsh->rd!=0       |     |              flsh->rd!=0
      |     [Separated]        |     |             [Dropping]
      |      main F idle       |     |              main none
-     |      old D tail        |     |              old D tail
+     |      flsh D tail       |     |              flsh D tail
      |     =============      |     |             ============
      |          |             |     | install       |
      ^          | EOF ON D    |     |  defer        | EOF ON D
@@ -2210,7 +2524,7 @@ static void inputfile_reading_stop(InputFile *ipf) {
      |      flsh->rd==0       |     V              flsh->rd==0
      |     [Finishing]        |     |             [Dropping]
      |      main F tail              |     `.             main none
-     |      old D closed      |       `.           old D closed
+     |      flsh D closed     |       `.           flsh D closed
      |     ===============    V                `.        ===============
      |          |                        `.          |
      |          | ALL D PROCESSED           `.        | ALL D PROCESSED
@@ -2223,7 +2537,7 @@ static void inputfile_reading_stop(InputFile *ipf) {
                                                 DROPPED
                                                [Dropped]
                                                 main none
-                                                old none
+                                                flsh none
                                                 some backlog
                                                ==============
                                                      |
@@ -2266,21 +2580,21 @@ static void statemc_lock(void) {
       sysfatal("fcntl F_SETLK lockfile %s", path_lock);
     }
 
-    xfstat_isreg(lockfd, &stabf, path_lock, "lockfile");
+    mfstat_isreg(lockfd, &stabf, path_lock, "lockfile");
     int lock_noent;
-    xlstat_isreg(path_lock, &stab, &lock_noent, "lockfile");
+    mlstat_isreg(path_lock, &stab, &lock_noent, "lockfile");
 
     if (!lock_noent && samefile(&stab, &stabf))
       break;
 
-    xclose(lockfd, "stale lockfile ", path_lock);
+    mclose(lockfd, "stale lockfile ", path_lock);
   }
 
   FILE *lockfile= fdopen(lockfd, "w");
-  if (!lockfile) sysdie("fdopen lockfile");
+  if (!lockfile) syscrash("fdopen lockfile");
 
   int r= ftruncate(lockfd, 0);
-  if (r) sysdie("truncate lockfile to write new info");
+  if (r) syscrash("truncate lockfile to write new info");
 
   if (fprintf(lockfile, "pid %ld\nsite %s\nfeedfile %s\nfqdn %s\n",
              (unsigned long)self_pid,
@@ -2297,7 +2611,7 @@ static void statemc_init(void) {
   search_backlog_file();
 
   int defer_noent;
-  xlstat_isreg(path_defer, &stabdefer, &defer_noent, "defer file");
+  mlstat_isreg(path_defer, &stabdefer, &defer_noent, "defer file");
   if (defer_noent) {
     debug("startup: ductdefer ENOENT");
   } else {
@@ -2307,12 +2621,12 @@ static void statemc_init(void) {
       open_defer(); /* so that we will later close it and rename it */
       break;
     case 2:
-      xunlink(path_defer, "stale defer file link"
+      munlink(path_defer, "stale defer file link"
              " (presumably hardlink to backlog file)");
       break;
     default:
-      die("defer file %s has unexpected link count %d",
-         path_defer, stabdefer.st_nlink);
+      crash("defer file %s has unexpected link count %d",
+           path_defer, stabdefer.st_nlink);
     }
   }
 
@@ -2320,13 +2634,13 @@ static void statemc_init(void) {
   int noent_f;
 
   InputFile *file_d= open_input_file(path_flushing);
-  if (file_d) xfstat_isreg(file_d->fd, &stab_d, path_flushing,"flushing file");
+  if (file_d) mfstat_isreg(file_d->fd, &stab_d, path_flushing,"flushing file");
 
-  xlstat_isreg(feedfile, &stab_f, &noent_f, "feedfile");
+  mlstat_isreg(feedfile, &stab_f, &noent_f, "feedfile");
 
   if (!noent_f && file_d && samefile(&stab_f, &stab_d)) {
     debug("startup: F==D => Hardlinked");
-    xunlink(feedfile, "feed file (during startup)"); /* => Moved */
+    munlink(feedfile, "feed file (during startup)"); /* => Moved */
     noent_f= 1;
   }
 
@@ -2339,11 +2653,15 @@ static void statemc_init(void) {
     if (file_d) {
       debug("startup: F!=D => Separated");
       startup_set_input_file(file_d);
-      SMS(SEPARATED, 0, "found both old and current feed files");
+      flushing_input_file= main_input_file;
+      main_input_file= open_input_file(feedfile);
+      if (!main_input_file) crash("feedfile vanished during startup");
+      SMS(SEPARATED, max_separated_periods,
+         "found both old and current feed files");
     } else {
       debug("startup: F exists, D ENOENT => Normal");
       InputFile *file_f= open_input_file(feedfile);
-      if (!file_f) die("feed file vanished during startup");
+      if (!file_f) crash("feed file vanished during startup");
       startup_set_input_file(file_f);
       SMS(NORMAL, spontaneous_flush_periods, "normal startup");
     }
@@ -2357,37 +2675,53 @@ static void statemc_start_flush(const char *why) { /* Normal => Flushing */
        why,
        (unsigned long)(main_input_file ? main_input_file->offset : 0),
        (unsigned long)target_max_feedfile_size,
-       sm_period_counter);
+       until_flush);
 
   int r= link(feedfile, path_flushing);
   if (r) sysfatal("link feedfile %s to flushing file %s",
                  feedfile, path_flushing);
   /* => Hardlinked */
 
-  xunlink(feedfile, "old feedfile link");
+  munlink(feedfile, "old feedfile link");
   /* => Moved */
 
   spawn_inndcomm_flush(why); /* => Flushing FLUSHING */
 }
 
-static void statemc_period_poll(void) {
-  if (!sm_period_counter) return;
-  sm_period_counter--;
-  assert(sm_period_counter>=0);
-
-  if (sm_period_counter) return;
+static int trigger_flush_ok(const char *why) {
   switch (sms) {
+
   case sm_NORMAL:
-    statemc_start_flush("periodic"); /* Normal => Flushing; => FLUSHING */
-    break;
+    statemc_start_flush(why ? why : "periodic");
+    return 1;                           /* Normal => Flushing; => FLUSHING */
+
   case sm_FLUSHFAILED:
-    spawn_inndcomm_flush("retry"); /* Moved => Flushing; => FLUSHING */
-    break;
+    spawn_inndcomm_flush(why ? why : "retry");
+    return 1;                            /* Moved => Flushing; => FLUSHING */
+
+  case sm_SEPARATED:
+  case sm_DROPPING:
+    warn("abandoning old feedfile after flush (%s), autodeferring",
+        why ? why : "took too long to complete");
+    assert(flushing_input_file);
+    autodefer_input_file(flushing_input_file);
+    return 1;
+
   default:
-    abort();
+    return 0;
   }
 }
 
+static void statemc_period_poll(void) {
+  if (!until_flush) return;
+  until_flush--;
+  assert(until_flush>=0);
+
+  if (until_flush) return;
+  int ok= trigger_flush_ok(0);
+  assert(ok);
+}
+
 static int inputfile_is_done(InputFile *ipf) {
   if (!ipf) return 0;
   if (ipf->inprogress) return 0; /* new article in the meantime */
@@ -2395,20 +2729,30 @@ static int inputfile_is_done(InputFile *ipf) {
   return 1;
 }
 
-static void notice_processed(InputFile *ipf, const char *what,
-                            const char *spec) {
+static void notice_processed(InputFile *ipf, int completed,
+                            const char *what, const char *spec) {
+  if (!ipf) return; /* allows preterminate to be lazy */
+
 #define RCI_NOTHING(x) /* nothing */
 #define RCI_TRIPLE_FMT(x) " " #x "=" RCI_TRIPLE_FMT_BASE
 #define RCI_TRIPLE_VALS(x) , RCI_TRIPLE_VALS_BASE(ipf->counts, [RC_##x])
 
 #define CNT(art,rc) (ipf->counts[art_##art][RC_##rc])
 
-  info("processed %s%s read=%d (+bl=%d,+err=%d)"
-       " offered=%d (ch=%d,nc=%d) accepted=%d (ch=%d,nc=%d)"
+  char *inprog= completed
+    ? masprintf("%s","") /* GCC produces a stupid warning for printf("") ! */
+    : masprintf(" inprogress=%ld", ipf->inprogress);
+  char *autodefer= ipf->autodefer >= 0
+    ? masprintf(" autodeferred=%ld", ipf->autodefer)
+    : masprintf("%s","");
+
+  info("%s %s%s read=%d (+bl=%d,+err=%d)%s%s"
+       " missing=%d offered=%d (ch=%d,nc=%d) accepted=%d (ch=%d,nc=%d)"
        RESULT_COUNTS(RCI_NOTHING, RCI_TRIPLE_FMT)
        ,
-       what, spec,
+       completed?"completed":"processed", what, spec,
        ipf->readcount_ok, ipf->readcount_blank, ipf->readcount_err,
+       inprog, autodefer, ipf->count_nooffer_missing,
        CNT(Unchecked,sent) + CNT(Unsolicited,sent)
        , CNT(Unchecked,sent), CNT(Unsolicited,sent),
        CNT(Wanted,accepted) + CNT(Unsolicited,accepted)
@@ -2416,6 +2760,9 @@ static void notice_processed(InputFile *ipf, const char *what,
        RESULT_COUNTS(RCI_NOTHING,  RCI_TRIPLE_VALS)
        );
 
+  free(inprog);
+  free(autodefer);
+
 #undef CNT
 }
 
@@ -2428,12 +2775,12 @@ static void statemc_check_backlog_done(void) {
   const char *under= strchr(slash, '_');
   const char *rest= under ? under+1 : leaf;
   if (!strncmp(rest,"backlog",7)) rest += 7;
-  notice_processed(ipf,"backlog ",rest);
+  notice_processed(ipf,1,"backlog ",rest);
 
   close_input_file(ipf);
   if (unlink(ipf->path)) {
     if (errno != ENOENT)
-      sysdie("could not unlink processed backlog file %s", ipf->path);
+      syscrash("could not unlink processed backlog file %s", ipf->path);
     warn("backlog file %s vanished while we were reading it"
         " so we couldn't remove it (but it's done now, anyway)",
         ipf->path);
@@ -2450,11 +2797,11 @@ static void statemc_check_flushing_done(void) {
 
   assert(sms==sm_SEPARATED || sms==sm_DROPPING);
 
-  notice_processed(ipf,"feedfile","");
+  notice_processed(ipf,1,"feedfile","");
 
   close_defer();
 
-  xunlink(path_flushing, "old flushing file");
+  munlink(path_flushing, "old flushing file");
 
   close_input_file(flushing_input_file);
   free(flushing_input_file);
@@ -2464,7 +2811,7 @@ static void statemc_check_flushing_done(void) {
     notice("flush complete");
     SMS(NORMAL, spontaneous_flush_periods, "flush complete");
   } else if (sms==sm_DROPPING) {
-    SMS(DROPPED, 0, "old flush complete");
+    SMS(DROPPED, max_separated_periods, "old flush complete");
     search_backlog_file();
     notice("feed dropped, but will continue until backlog is finished");
   }
@@ -2485,7 +2832,7 @@ static void queue_check_input_done(void) {
 static void statemc_setstate(StateMachineState newsms, int periods,
                             const char *forlog, const char *why) {
   sms= newsms;
-  sm_period_counter= periods;
+  until_flush= periods;
 
   const char *xtra= "";
   switch (sms) {
@@ -2519,10 +2866,10 @@ static void open_defer(void) {
 
   /* truncate away any half-written records */
 
-  xfstat_isreg(fileno(defer), &stab, path_defer, "newly opened defer file");
+  mfstat_isreg(fileno(defer), &stab, path_defer, "newly opened defer file");
 
   if (stab.st_size > LONG_MAX)
-    die("defer file %s size is far too large", path_defer);
+    crash("defer file %s size is far too large", path_defer);
 
   if (!stab.st_size)
     return;
@@ -2532,14 +2879,14 @@ static void open_defer(void) {
   for (;;) {
     if (!truncto) break; /* was only (if anything) one half-truncated record */
     if (fseek(defer, truncto-1, SEEK_SET) < 0)
-      sysdie("seek in defer file %s while truncating partial", path_defer);
+      syscrash("seek in defer file %s while truncating partial", path_defer);
 
     int r= getc(defer);
     if (r==EOF) {
       if (ferror(defer))
-       sysdie("failed read from defer file %s", path_defer);
+       syscrash("failed read from defer file %s", path_defer);
       else
-       die("defer file %s shrank while we were checking it!", path_defer);
+       crash("defer file %s shrank while we were checking it!", path_defer);
     }
     if (r=='\n') break;
     truncto--;
@@ -2553,14 +2900,14 @@ static void open_defer(void) {
     if (fflush(defer))
       sysfatal("could not flush defer file %s", path_defer);
     if (ftruncate(fileno(defer), truncto))
-      sysdie("could not truncate defer file %s", path_defer);
+      syscrash("could not truncate defer file %s", path_defer);
 
   } else {
     info("continuing existing defer file %s (%ld bytes)",
         path_defer, orgsize);
   }
   if (fseek(defer, truncto, SEEK_SET))
-    sysdie("could not seek to new end of defer file %s", path_defer);
+    syscrash("could not seek to new end of defer file %s", path_defer);
 }
 
 static void close_defer(void) {
@@ -2568,22 +2915,22 @@ static void close_defer(void) {
     return;
 
   struct stat stab;
-  xfstat_isreg(fileno(defer), &stab, path_defer, "defer file");
+  mfstat_isreg(fileno(defer), &stab, path_defer, "defer file");
 
   if (fclose(defer)) sysfatal("could not close defer file %s", path_defer);
   defer= 0;
 
-  time_t now= xtime();
+  time_t now= mtime();
 
-  char *backlog= xasprintf("%s_backlog_%lu.%lu", feedfile,
+  char *backlog= masprintf("%s_backlog_%lu.%lu", feedfile,
                           (unsigned long)now,
                           (unsigned long)stab.st_ino);
   if (link(path_defer, backlog))
     sysfatal("could not install defer file %s as backlog file %s",
-          path_defer, backlog);
+            path_defer, backlog);
   if (unlink(path_defer))
-    sysdie("could not unlink old defer link %s to backlog file %s",
-          path_defer, backlog);
+    syscrash("could not unlink old defer link %s to backlog file %s",
+            path_defer, backlog);
 
   free(backlog);
 
@@ -2643,28 +2990,29 @@ static void search_backlog_file(void) {
   case GLOB_NOMATCH: /* fall through */
     break;
   default:
-    sysdie("glob expansion of backlog pattern %s gave unexpected"
-          " nonzero (error?) return value %d", globpat_backlog, r);
+    syscrash("glob expansion of backlog pattern %s gave unexpected"
+            " nonzero (error?) return value %d", globpat_backlog, r);
   }
 
   if (!oldest_path) {
     debug("backlog scan: none");
 
     if (sms==sm_DROPPED) {
+      preterminate();
       notice("feed dropped and our work is complete");
 
-      int r= unlink(path_control);
+      int r= unlink(path_cli);
       if (r && errno!=ENOENT)
-       syswarn("failed to remove control symlink for old feed");
+       syswarn("failed to unlink cli socket for old feed");
 
-      xunlink(path_lock,    "lockfile for old feed");
+      munlink(path_lock, "lockfile for old feed");
       exit(4);
     }
     until_backlog_nextscan= backlog_spontrescan_periods;
     goto xfree;
   }
 
-  now= xtime();
+  now= mtime();
   double age= difftime(now, oldest_mtime);
   long age_deficiency= (backlog_retry_minperiods * period_seconds) - age;
 
@@ -2697,6 +3045,73 @@ static void search_backlog_file(void) {
   return;
 }
 
+/*---------- shutdown and signal handling ----------*/
+
+static void preterminate(void) {
+  if (in_child) return;
+  notice_processed(main_input_file,0,"feedfile","");
+  notice_processed(flushing_input_file,0,"flushing","");
+  if (backlog_input_file)
+    notice_processed(backlog_input_file,0, "backlog file ",
+                    backlog_input_file->path);
+}
+
+static int signal_self_pipe[2];
+static sig_atomic_t terminate_sig_flag;
+
+static void raise_default(int signo) {
+  msigsetdefault(signo);
+  raise(signo);
+  abort();
+}
+
+static void *sigarrived_event(oop_source *lp, int fd, oop_event e, void *u) {
+  assert(fd=signal_self_pipe[0]);
+  char buf[PIPE_BUF];
+  int r= read(signal_self_pipe[0], buf, sizeof(buf));
+  if (r<0 && !isewouldblock(errno))
+    syscrash("failed to read signal self pipe");
+  if (r==0) crash("eof on signal self pipe");
+  if (terminate_sig_flag) {
+    preterminate();
+    notice("terminating (%s)", strsignal(terminate_sig_flag));
+    raise_default(terminate_sig_flag);
+  }
+  return OOP_CONTINUE;
+}
+
+static void sigarrived_handler(int signum) {
+  static char x;
+  switch (signum) {
+  case SIGTERM:
+  case SIGINT:
+    if (!terminate_sig_flag) terminate_sig_flag= signum;
+    break;
+  default:
+    abort();
+  }
+  write(signal_self_pipe[1],&x,1);
+}
+
+static void init_signals(void) {
+  if (signal(SIGPIPE, SIG_IGN) == SIG_ERR)
+    syscrash("could not ignore SIGPIPE");
+
+  if (pipe(signal_self_pipe)) sysfatal("create self-pipe for signals");
+
+  msetnonblock(signal_self_pipe[0],1);
+  msetnonblock(signal_self_pipe[1],1);
+
+  struct sigaction sa;
+  memset(&sa,0,sizeof(sa));
+  sa.sa_handler= sigarrived_handler;
+  sa.sa_flags= SA_RESTART;
+  msigaction(SIGTERM,&sa);
+  msigaction(SIGINT,&sa);
+
+  on_fd_read_except(signal_self_pipe[0], sigarrived_event);
+}
+
 /*========== flushing the feed ==========*/
 
 static pid_t inndcomm_child;
@@ -2705,11 +3120,11 @@ static int inndcomm_sentinel_fd;
 static void *inndcomm_event(oop_source *lp, int fd, oop_event e, void *u) {
   assert(inndcomm_child);
   assert(fd == inndcomm_sentinel_fd);
-  int status= xwaitpid(&inndcomm_child, "inndcomm");
+  int status= mwaitpid(&inndcomm_child, "inndcomm");
   inndcomm_child= 0;
   
   cancel_fd_read_except(fd);
-  xclose_perhaps(&fd, "inndcomm sentinel pipe",0);
+  mclose_perhaps(&fd, "inndcomm sentinel pipe",0);
   inndcomm_sentinel_fd= 0;
 
   assert(!flushing_input_file);
@@ -2723,7 +3138,7 @@ static void *inndcomm_event(oop_source *lp, int fd, oop_event e, void *u) {
     case INNDCOMMCHILD_ESTATUS_NONESUCH:
       notice("feed has been dropped by innd, finishing up");
       flushing_input_file= main_input_file;
-      tailing_queue_readable(flushing_input_file);
+      tailing_make_readable(flushing_input_file);
        /* we probably previously returned EAGAIN from our fake read method
         * when in fact we were at EOF, so signal another readable event
         * so we actually see the EOF */
@@ -2731,7 +3146,8 @@ static void *inndcomm_event(oop_source *lp, int fd, oop_event e, void *u) {
       main_input_file= 0;
 
       if (flushing_input_file) {
-       SMS(DROPPING, 0, "feed dropped by innd, but must finish last flush");
+       SMS(DROPPING, max_separated_periods,
+           "feed dropped by innd, but must finish last flush");
       } else {
        close_defer();
        SMS(DROPPED, 0, "feed dropped by innd");
@@ -2742,17 +3158,19 @@ static void *inndcomm_event(oop_source *lp, int fd, oop_event e, void *u) {
     case 0:
       /* as above */
       flushing_input_file= main_input_file;
-      tailing_queue_readable(flushing_input_file);
+      tailing_make_readable(flushing_input_file);
 
       main_input_file= open_input_file(feedfile);
       if (!main_input_file)
-       die("flush succeeded but feedfile %s does not exist!", feedfile);
+       crash("flush succeeded but feedfile %s does not exist!"
+             " (this probably means feedfile does not correspond"
+             " to site %s in newsfeeds)", feedfile, sitename);
 
       if (flushing_input_file) {
-       SMS(SEPARATED, spontaneous_flush_periods, "recovery flush complete");
+       SMS(SEPARATED, max_separated_periods, "flush complete");
       } else {
        close_defer();
-       SMS(NORMAL, spontaneous_flush_periods, "flush complete");
+       SMS(NORMAL, spontaneous_flush_periods, "recovery flush complete");
       }
       return OOP_CONTINUE;
 
@@ -2789,14 +3207,14 @@ void spawn_inndcomm_flush(const char *why) { /* Moved => Flushing */
 
   if (pipe(pipefds)) sysfatal("create pipe for inndcomm child sentinel");
 
-  inndcomm_child= xfork("inndcomm child");
+  inndcomm_child= mfork("inndcomm child");
 
   if (!inndcomm_child) {
     const char *flushargv[2]= { sitename, 0 };
     char *reply;
     int r;
 
-    xclose(pipefds[0], "(in child) inndcomm sentinel parent's end",0);
+    mclose(pipefds[0], "(in child) inndcomm sentinel parent's end",0);
     /* parent spots the autoclose of pipefds[1] when we die or exit */
 
     if (simulate_flush>=0) {
@@ -2817,7 +3235,7 @@ void spawn_inndcomm_flush(const char *why) { /* Moved => Flushing */
 
   simulate_flush= -1;
 
-  xclose(pipefds[1], "inndcomm sentinel child's end",0);
+  mclose(pipefds[1], "inndcomm sentinel child's end",0);
   inndcomm_sentinel_fd= pipefds[0];
   assert(inndcomm_sentinel_fd);
   on_fd_read_except(inndcomm_sentinel_fd, inndcomm_event);
@@ -2829,24 +3247,28 @@ void spawn_inndcomm_flush(const char *why) { /* Moved => Flushing */
 
 static void postfork_inputfile(InputFile *ipf) {
   if (!ipf) return;
-  xclose(ipf->fd, "(in child) input file ", ipf->path);
+  mclose(ipf->fd, "(in child) input file ", ipf->path);
 }
 
 static void postfork_stdio(FILE *f, const char *what, const char *what2) {
   /* we have no stdio streams that are buffered long-term */
   if (!f) return;
-  if (fclose(f)) sysdie("(in child) close %s%s", what, what2?what2:0);
+  if (fclose(f)) syscrash("(in child) close %s%s", what, what2?what2:0);
 }
 
 static void postfork(void) {
-  if (signal(SIGPIPE, SIG_DFL) == SIG_ERR)
-    sysdie("(in child) failed to reset SIGPIPE");
+  in_child= 1;
+
+  msigsetdefault(SIGTERM);
+  msigsetdefault(SIGINT);
+  msigsetdefault(SIGPIPE);
+  if (terminate_sig_flag) raise(terminate_sig_flag);
 
   postfork_inputfile(main_input_file);
   postfork_inputfile(flushing_input_file);
 
   Conn *conn;
-  for (conn=LIST_HEAD(conns); conn; conn=LIST_NEXT(conn))
+  FOR_CONN(conn)
     conn_closefd(conn,"(in child) ");
 
   postfork_stdio(defer, "defer file ", path_defer);
@@ -2864,7 +3286,7 @@ static void every_schedule(Every *e, struct timeval base);
 static void *every_happens(oop_source *lp, struct timeval base, void *e_v) {
   Every *e= e_v;
   e->f();
-  if (!e->fixed_rate) xgettimeofday(&base);
+  if (!e->fixed_rate) mgettimeofday(&base);
   every_schedule(e, base);
   return OOP_CONTINUE;
 }
@@ -2876,31 +3298,34 @@ static void every_schedule(Every *e, struct timeval base) {
 }
 
 static void every(int interval, int fixed_rate, void (*f)(void)) {
-  Every *e= xmalloc(sizeof(*e));
+  NEW_DECL(Every *,e);
   e->interval.tv_sec= interval;
   e->interval.tv_usec= 0;
   e->fixed_rate= fixed_rate;
   e->f= f;
   struct timeval now;
-  xgettimeofday(&now);
+  mgettimeofday(&now);
   every_schedule(e, now);
 }
 
 static void filepoll(void) {
-  filemon_callback(main_input_file);
-  filemon_callback(flushing_input_file);
+  tailing_make_readable(main_input_file);
+  tailing_make_readable(flushing_input_file);
 }
 
 static char *debug_report_ipf(InputFile *ipf) {
-  if (!ipf) return xasprintf("none");
+  if (!ipf) return masprintf("none");
 
   const char *slash= strrchr(ipf->path,'/');
   const char *path= slash ? slash+1 : ipf->path;
 
-  return xasprintf("%p/%s:ip=%ld,off=%ld,fd=%d%s",
+  return masprintf("%p/%s:queue=%d,ip=%ld,autodef=%ld,off=%ld,fd=%d%s%s%s",
                   ipf, path,
-                  ipf->inprogress, (long)ipf->offset,
-                  ipf->fd, ipf->rd ? "" : ",!rd");
+                  ipf->queue.count, ipf->inprogress, ipf->autodefer,
+                  (long)ipf->offset, ipf->fd,
+                  ipf->rd ? "" : ",!rd",
+                  ipf->skippinglong ? "*skiplong" : "",
+                  ipf->rd && ipf->paused ? "*paused" : "");
 }
 
 static void period(void) {
@@ -2909,14 +3334,13 @@ static void period(void) {
   char *dipf_backlog=  debug_report_ipf(backlog_input_file);
 
   debug("PERIOD"
-       " sms=%s[%d] conns=%d queue=%d until_connect=%d"
-       " input_files main:%s flushing:%s backlog:%s"
-       " children connecting=%ld inndcomm=%ld"
+       " sms=%s[%d] conns=%d until_connect=%d"
+       " input_files main:%s flushing:%s backlog:%s[%d]"
+       " children connecting=%ld inndcomm=%ld lowvol_total=%d"
        ,
-       sms_names[sms], sm_period_counter,
-         conns.count, queue.count, until_connect,
-       dipf_main, dipf_flushing, dipf_backlog,
-       (long)connecting_child, (long)inndcomm_child
+       sms_names[sms], until_flush, conns.count, until_connect,
+       dipf_main, dipf_flushing, dipf_backlog, until_backlog_nextscan,
+       (long)connecting_child, (long)inndcomm_child, lowvol_total
        );
 
   free(dipf_main);
@@ -2925,6 +3349,7 @@ static void period(void) {
 
   if (until_connect) until_connect--;
 
+  inputfile_queue_check_expired(backlog_input_file);
   poll_backlog_file();
   if (!backlog_input_file) close_defer(); /* want to start on a new backlog */
   statemc_period_poll();
@@ -2933,16 +3358,155 @@ static void period(void) {
 }
 
 
+/*========== dumping state ==========*/
+
+static void dump_article_list(FILE *f, const CliCommand *c,
+                             const ArticleList *al) {
+  fprintf(f, " count=%d\n", al->count);
+  if (!c->xval) return;
+  
+  int i; Article *art;
+  for (i=0, art=LIST_HEAD(*al); art; i++, art=LIST_NEXT(art)) {
+    fprintf(f," #%05d %-11s", i, artstate_names[art->state]);
+    DUMPV("%p", art->,ipf);
+    DUMPV("%d", art->,missing);
+    DUMPV("%lu", (unsigned long)art->,offset);
+    DUMPV("%d", art->,blanklen);
+    DUMPV("%d", art->,midlen);
+    fprintf(f, " %s %s\n", TokenToText(art->token), art->messageid);
+  }
+}
+  
+static void dump_input_file(FILE *f, const CliCommand *c,
+                           InputFile *ipf, const char *wh) {
+  char *dipf= debug_report_ipf(ipf);
+  fprintf(f,"input %s %s", wh, dipf);
+  free(dipf);
+  
+  if (ipf) {
+    DUMPV("%d", ipf->,readcount_ok);
+    DUMPV("%d", ipf->,readcount_blank);
+    DUMPV("%d", ipf->,readcount_err);
+    DUMPV("%d", ipf->,count_nooffer_missing);
+  }
+  fprintf(f,"\n");
+  if (ipf) {
+    ArtState state; const char *const *statename; 
+    for (state=0, statename=artstate_names; *statename; state++,statename++) {
+#define RC_DUMP_FMT(x) " " #x "=%d"
+#define RC_DUMP_VAL(x) ,ipf->counts[state][RC_##x]
+      fprintf(f,"input %s counts %-11s"
+             RESULT_COUNTS(RC_DUMP_FMT,RC_DUMP_FMT) "\n",
+             wh, *statename
+             RESULT_COUNTS(RC_DUMP_VAL,RC_DUMP_VAL));
+    }
+    fprintf(f,"input %s queue", wh);
+    dump_article_list(f,c,&ipf->queue);
+  }
+}
+
+CCMD(dump) {
+  int i;
+  fprintf(cc->out, "dumping state to %s\n", path_dump);
+  FILE *f= fopen(path_dump, "w");
+  if (!f) { fprintf(cc->out, "failed: open: %s\n", strerror(errno)); return; }
+
+  fprintf(f,"general");
+  DUMPV("%s", sms_names,[sms]);
+  DUMPV("%d", ,until_flush);
+  DUMPV("%ld", (long),self_pid);
+  DUMPV("%p", , defer);
+  DUMPV("%d", , until_connect);
+  DUMPV("%d", , until_backlog_nextscan);
+  DUMPV("%d", , simulate_flush);
+  fprintf(f,"\nnocheck");
+  DUMPV("%#.10f", , accept_proportion);
+  DUMPV("%d", , nocheck);
+  DUMPV("%d", , nocheck_reported);
+  fprintf(f,"\n");
+
+  fprintf(f,"special");
+  DUMPV("%ld", (long),connecting_child);
+  DUMPV("%d", , connecting_fdpass_sock);
+  DUMPV("%d", , cli_master);
+  fprintf(f,"\n");
+
+  fprintf(f,"lowvol");
+  DUMPV("%d", , lowvol_circptr);
+  DUMPV("%d", , lowvol_total);
+  fprintf(f,":");
+  for (i=0; i<lowvol_periods; i++) {
+    fprintf(f," ");
+    if (i==lowvol_circptr) fprintf(f,"*");
+    fprintf(f,"%d",lowvol_perperiod[i]);
+  }
+  fprintf(f,"\n");
+
+  fprintf(f,"filemon ");
+  filemon_method_dump_info(f);
+
+  dump_input_file(f,c, main_input_file,     "main"    );
+  dump_input_file(f,c, flushing_input_file, "flushing");
+  dump_input_file(f,c, backlog_input_file,  "backlog" );
+
+  fprintf(f,"conns count=%d\n", conns.count);
+
+  Conn *conn;
+  FOR_CONN(conn) {
+
+    fprintf(f,"C%d",conn->fd);
+    DUMPV("%p",conn->,rd);             DUMPV("%d",conn->,max_queue);
+    DUMPV("%d",conn->,stream);         DUMPV("\"%s\"",conn->,quitting);
+    DUMPV("%d",conn->,since_activity);
+    fprintf(f,"\n");
+
+    fprintf(f,"C%d waiting", conn->fd); dump_article_list(f,c,&conn->waiting);
+    fprintf(f,"C%d priority",conn->fd); dump_article_list(f,c,&conn->priority);
+    fprintf(f,"C%d sent",    conn->fd); dump_article_list(f,c,&conn->sent);
+
+    fprintf(f,"C%d xmit xmitu=%d\n", conn->fd, conn->xmitu);
+    for (i=0; i<conn->xmitu; i++) {
+      const struct iovec *iv= &conn->xmit[i];
+      const XmitDetails *xd= &conn->xmitd[i];
+      char *dinfo;
+      switch (xd->kind) {
+      case xk_Const:    dinfo= masprintf("Const");                 break;
+      case xk_Artdata:  dinfo= masprintf("A%p", xd->info.sm_art);  break;
+      default:
+       abort();
+      }
+      fprintf(f," #%03d %-11s l=%d %s\n", i, dinfo, iv->iov_len,
+             sanitise(iv->iov_base, iv->iov_len));
+      free(dinfo);
+    }
+  }
+
+  fprintf(f,"paths");
+  DUMPV("%s", , feedfile);
+  DUMPV("%s", , path_cli);
+  DUMPV("%s", , path_lock);
+  DUMPV("%s", , path_flushing);
+  DUMPV("%s", , path_defer);
+  DUMPV("%s", , path_dump);
+  DUMPV("%s", , globpat_backlog);
+  fprintf(f,"\n");
+
+  if (!!ferror(f) + !!fclose(f)) {
+    fprintf(cc->out, "failed: write: %s\n", strerror(errno));
+    return;
+  }
+}
+
 /*========== option parsing ==========*/
 
 static void vbadusage(const char *fmt, va_list al) NORET_PRINTF(1,0);
 static void vbadusage(const char *fmt, va_list al) {
-  char *m= xvasprintf(fmt,al);
+  char *m= mvasprintf(fmt,al);
   fprintf(stderr, "bad usage: %s\n"
          "say --help for help, or read the manpage\n",
          m);
-  if (become_daemon)
-    syslog(LOG_CRIT,"innduct: invoked with bad usage: %s",m);
+  if (interactive < 2)
+    syslog(LOG_CRASH,"innduct: invoked with bad usage: %s",m);
   exit(8);
 }
 
@@ -3030,7 +3594,7 @@ static void print_options(const Option *options, FILE *f) {
   const Option *o;
   for (o=options; o->shrt || o->lng; o++) {
     char shrt[2] = { o->shrt, 0 };
-    char *optspec= xasprintf("%s%s%s%s%s",
+    char *optspec= masprintf("%s%s%s%s%s",
                             o->shrt ? "-" : "", shrt,
                             o->shrt && o->lng ? "|" : "",
                             DELIMPERHAPS("--", o->lng));
@@ -3101,19 +3665,25 @@ static void help(const Option *o, const char *val);
 static const Option innduct_options[]= {
 {'f',"feedfile",         "F",     &feedfile,                 op_string      },
 {'q',"quiet-multiple",   0,       &quiet_multiple,           op_setint, 1   },
-{0,"no-daemon",          0,       &become_daemon,            op_setint, 0   },
+{0,"no-daemon",          0,       &interactive,              op_setint, 1   },
+{0,"interactive",        0,       &interactive,              op_setint, 2   },
 {0,"no-streaming",       0,       &try_stream,               op_setint, 0   },
+{0,"no-filemon",         0,       &try_filemon,              op_setint, 0   },
 {'C',"inndconf",         "F",     &inndconffile,             op_string      },
 {'P',"port",             "PORT",  &port,                     op_integer     },
+{0,"chdir",              "DIR",   &path_run,                 op_string      },
+{0,"cli",            "DIR/|PATH", &path_cli,                 op_string      },
 {0,"help",               0,       0,                         help           },
 
 {0,"max-connections",    "N",     &max_connections,          op_integer     },
 {0,"max-queue-per-conn", "N",     &max_queue_per_conn,       op_integer     },
+{0,"max-queue-per-file", "N",     &max_queue_per_ipf,        op_integer     },
 {0,"feedfile-flush-size","BYTES", &target_max_feedfile_size, op_integer     },
 {0,"period-interval",    "TIME",  &period_seconds,           op_seconds     },
 
-{0,"connection-timeout", "TIME",  &connection_setup_timeout, op_seconds     },
-{0,"stuck-flush-timeout","TIME",  &inndcomm_flush_timeout,   op_seconds     },
+{0,"connection-timeout",   "TIME",  &connection_setup_timeout, op_seconds   },
+{0,"stuck-flush-timeout",  "TIME",  &inndcomm_flush_timeout,   op_seconds   },
+{0,"feedfile-poll",        "TIME",  &filepoll_seconds,         op_seconds   },
 
 {0,"no-check-proportion",   "PERCENT",   &nocheck_thresh,       op_double   },
 {0,"no-check-response-time","ARTICLES",  &nocheck_decay,        op_double   },
@@ -3123,7 +3693,10 @@ static const Option innduct_options[]= {
 {0,"earliest-deferred-retry","PERIOD", &backlog_retry_minperiods, op_seconds },
 {0,"backlog-rescan-interval","PERIOD",&backlog_spontrescan_periods,op_seconds},
 {0,"max-flush-interval",     "PERIOD", &spontaneous_flush_periods,op_seconds },
+{0,"flush-finish-timeout",   "PERIOD", &max_separated_periods,    op_seconds },
 {0,"idle-timeout",           "PERIOD", &need_activity_periods,    op_seconds },
+{0,"low-volume-thresh",      "PERIOD", &lowvol_thresh,            op_integer },
+{0,"low-volume-window",      "PERIOD", &lowvol_periods,           op_seconds },
 
 {0,"max-bad-input-data-ratio","PERCENT", &max_bad_data_ratio,   op_double    },
 {0,"max-bad-input-data-init", "PERCENT", &max_bad_data_initial, op_integer   },
@@ -3151,7 +3724,18 @@ static void convert_to_periods_rndup(int *store) {
   *store /= period_seconds;
 }
 
+static int path_ends_slash(const char *specified) {
+  int l= strlen(specified);
+  assert(l);
+  return specified[l-1] == '/';
+}
+
 int main(int argc, char **argv) {
+  /* set up libinn logging */
+  error_program_name= "innduct";
+  message_fatal_cleanup= innduct_fatal_cleanup;
+  INNLOGWRAPS(INNLOGWRAP_CALL)
+
   if (!argv[1]) {
     printusage(stderr);
     exit(8);
@@ -3163,13 +3747,16 @@ int main(int argc, char **argv) {
 
   sitename= *argv++;
   if (!sitename) badusage("need site name argument");
-  remote_host= *argv++;
+
+  if (*argv) remote_host= *argv++;
+  else remote_host= sitename;
+  
   if (*argv) badusage("too many non-option arguments");
 
   /* defaults */
 
   int r= innconf_read(inndconffile);
-  if (!r) badusage("could not read inn.conf (more info on stderr)");
+  if (!r) badusage("could not read inn.conf");
 
   if (!remote_host) remote_host= sitename;
 
@@ -3186,19 +3773,36 @@ int main(int argc, char **argv) {
   convert_to_periods_rndup(&backlog_retry_minperiods);
   convert_to_periods_rndup(&backlog_spontrescan_periods);
   convert_to_periods_rndup(&spontaneous_flush_periods);
+  convert_to_periods_rndup(&max_separated_periods);
   convert_to_periods_rndup(&need_activity_periods);
+  convert_to_periods_rndup(&lowvol_periods);
 
   if (max_bad_data_ratio < 0 || max_bad_data_ratio > 100)
     badusage("bad input data ratio must be between 0..100");
   max_bad_data_ratio *= 0.01;
 
-  if (!feedfile) {
-    feedfile= xasprintf("%s/%s",innconf->pathoutgoing,sitename);
-  } else if (!feedfile[0]) {
-    badusage("feed filename must be nonempty");
-  } else if (feedfile[strlen(feedfile)-1]=='/') {
-    feedfile= xasprintf("%s%s",feedfile,sitename);
+  if (!path_run)
+    path_run= innconf->pathrun;
+
+  if (!feedfile) feedfile= sitename;
+  if (!feedfile[0]) badusage("feed filename, if specified, must be nonempty");
+  if (path_ends_slash(feedfile))
+    feedfile= masprintf("%s%s", feedfile, sitename);
+  if (feedfile[0] != '/')
+    feedfile= masprintf("%s/%s", innconf->pathoutgoing, feedfile);
+
+  if (!path_cli) {
+    path_cli_dir= "innduct";
+  } else if (!path_cli[0] || !strcmp(path_cli,"none")) {
+    path_cli= 0; /* ok, don't then */
+  } else if (path_ends_slash(path_cli)) {
+    path_cli_dir= masprintf("%.*s", strlen(path_cli)-1, path_cli);
   }
+  if (path_cli_dir)
+    path_cli= masprintf("%s/%s", path_cli_dir, sitename);
+
+  if (max_queue_per_ipf<0)
+    max_queue_per_ipf= max_queue_per_conn * 2;
 
   const char *feedfile_forbidden= "?*[~#";
   int c;
@@ -3206,64 +3810,87 @@ int main(int argc, char **argv) {
     if (strchr(feedfile, c))
       badusage("feed filename may not contain metacharacter %c",c);
 
+  int i;
+  lowvol_perperiod= xcalloc(sizeof(*lowvol_perperiod), lowvol_periods);
+  for (i=0; i<lowvol_periods; i++) {
+    lowvol_perperiod[i]= lowvol_thresh;
+    lowvol_total += lowvol_thresh;
+  }
+  lowvol_total -= lowvol_thresh;
+
   /* set things up */
 
-  path_lock=        xasprintf("%s_lock",      feedfile);
-  path_flushing=    xasprintf("%s_flushing",  feedfile);
-  path_defer=       xasprintf("%s_defer",     feedfile);
-  path_control=     xasprintf("%s_control",   feedfile);
-  globpat_backlog=  xasprintf("%s_backlog*",  feedfile);
+  path_lock=        masprintf("%s_lock",      feedfile);
+  path_flushing=    masprintf("%s_flushing",  feedfile);
+  path_defer=       masprintf("%s_defer",     feedfile);
+  path_dump=        masprintf("%s_dump",      feedfile);
+  globpat_backlog=  masprintf("%s_backlog*",  feedfile);
 
   oop_source_sys *sysloop= oop_sys_new();
-  if (!sysloop) sysdie("could not create liboop event loop");
+  if (!sysloop) syscrash("could not create liboop event loop");
   loop= (oop_source*)sysloop;
 
-  if (signal(SIGPIPE, SIG_IGN) == SIG_ERR)
-    sysdie("could not ignore SIGPIPE");
-
   LIST_INIT(conns);
-  LIST_INIT(queue);
 
-  if (become_daemon) {
+  if (interactive < 1) {
     int i;
     for (i=3; i<255; i++)
       /* do this now before we open syslog, etc. */
       close(i);
+  }
+
+  if (interactive < 2)
     openlog("innduct",LOG_NDELAY|LOG_PID,LOG_NEWS);
 
+  if (interactive < 1) {
     int null= open("/dev/null",O_RDWR);
     if (null<0) sysfatal("failed to open /dev/null");
     dup2(null,0);
     dup2(null,1);
     dup2(null,2);
-    xclose(null, "/dev/null original fd",0);
+    mclose(null, "/dev/null original fd",0);
 
-    pid_t child1= xfork("daemonise first fork");
+    pid_t child1= mfork("daemonise first fork");
     if (child1) _exit(0);
 
     pid_t sid= setsid();
-    if (sid != child1) sysfatal("setsid failed");
+    if (sid == -1) sysfatal("setsid failed");
 
-    pid_t child2= xfork("daemonise second fork");
+    pid_t child2= mfork("daemonise second fork");
     if (child2) _exit(0);
   }
 
   self_pid= getpid();
-  if (self_pid==-1) sysdie("getpid");
+  if (self_pid==-1) syscrash("getpid");
+
+  r= chdir(path_run);
+  if (r) sysfatal("could not chdir to pathrun %s", path_run);
 
   statemc_lock();
 
+  init_signals();
+
   notice("starting");
 
-  if (!become_daemon)
-    control_stdio();
+  int val= 1;
+  r= SMsetup(SM_PREOPEN, &val); if (!r) warn("SMsetup SM_PREOPEN failed");
+  r= SMinit(); if (!r) fatal("storage manager initialisation (SMinit) failed");
+
+  if (interactive >= 2)
+    cli_stdio();
 
-  control_init();
+  cli_init();
 
-  if (!filemon_method_init()) {
-    warn("filemon: no file monitoring available, polling");
-    every(5,0,filepoll);
+  int filemon_ok= 0;
+  if (!try_filemon) {
+    notice("filemon: suppressed by command line option, polling");
+  } else {
+    filemon_ok= filemon_method_init();
+    if (!filemon_ok)
+      warn("filemon: no file monitoring available, polling");
   }
+  if (!filemon_ok)
+    every(filepoll_seconds,0,filepoll);
 
   every(period_seconds,1,period);
 
@@ -3273,5 +3900,5 @@ int main(int argc, char **argv) {
 
   void *run= oop_sys_run(sysloop);
   assert(run == OOP_ERROR);
-  sysdie("event loop failed");
+  syscrash("event loop failed");
 }