标签: block

我正在帮助运营一个网站，该网站因政治原因被之前曾尝试阻止 Telegram (RosKomNadzor)的同一俄罗斯机构阻止。这不是第一次发生，以前我们只会更改域，但这有其自身的影响和读者流失。

他们只阻止域名，而不是 IP（无论如何我们都在使用 Cloudflare）。我们正在使用 HTTPS，但 ISP 仍然能够以某种方式从他们的客户端获取有关我们的请求的 DNS 信息。从技术上讲，我们可以建议我们的读者配置他们的/etc/hosts，但这不是一个可行的选择。

是否可以在我们的服务器端做一些事情来加密/混淆 DNS 信息，而无需用户进行任何更改/安装软件？还是等待 DNS over HTTPS 成为我们唯一的选择？

来自俄罗斯的爱。

我有一个需要根据 IP 地址阻止特定国家/地区的网站。我非常清楚基于 IP 的阻止并不是阻止访问者的万无一失的方法，但它是朝着正确方向迈出的必要步骤。

由于我使用的是 PHP，我会做的是使用 GeoIP 数据库，如geoplugin.net。但是，我很想知道是否有更好的方法来做到这一点。

该网站位于共享网络服务器上（我没有 root 访问权限）并且它在 centOS 上运行 Apache。我想我的问题是“可以将 .htaccess 文件配置为使用外部源来阻止 IP 地址来查找 IP 地址。”

出于调整大小的目的，我需要了解应用程序对 I/O 子系统的要求。我很想做我所谓的 I/O 嗅探，并像这样从块层获取事件列表：

initiator XYZ requests block 4711 from device 0815
initiator BLA writes block 1234 to device 9876 

有人告诉我 blktrace 是我正在寻找的，但我无法从该工具中获取此信息。

我在 Debian Wheezy 上的硬件 RAID1（可能是 LSI MegaRaid）中有 2 个 4TB 磁盘。物理块大小为 4kB。我将存储 150-2 亿个小文件（3 到 10kB 之间）。我不是在要求性能，而是为了节省存储空间的最佳文件系统和块大小。我已将 8200 字节的文件复制到块大小为 4kB 的 ext4 上。这占用了 32kB 的磁盘空间！？写日记是原因吗？那么有哪些选项可以为这些小文件节省大部分存储空间呢？

df -h报告“/”分区已 100% 已满。在du -hs *该分区的每个目录上运行时显示仍有很多空间。

tune2efs它报告只有一个块是免费的。Ranfsck也是如此，它还显示了所有正在使用的块。

“/”分区上的 ionode 使用率为 14%。

请注意，/var、/usr、/dev、/tmp、/home 挂载在不同的分区上，并且其中有可用空间。

你能否让我知道所有块被占用和磁盘报告已满的可能原因，即使有很多空间。

考虑到 unix/linux/bsdunix 特定的文件系统：

在创建文件系统时如何选择/知道要使用的块大小？是否有任何特定文件系统的特定块大小值被认为对该特定文件系统最有效？

假设我为我的文件系统选择了一个大块大小，显然它会为大文件快速写入/读取数据。对于较小的文件，它会产生空间碎片（如果我错了，请纠正我）。那么哪些应用程序一般使用大的 fs 块大小，哪些应用程序使用小块大小呢？

块大小选择对使用哪个文件系统也有影响吗？那么对于特定的块大小，FS 性能对于一个 FS（比如 ext3）来说更好，而对于其他 FS（比如 ext2 或 vxfs 或相同操作系统的任何 fs）则不是那么好？

如何阻止 Varnish 的 VCL 文件中网络范围的任一 IP 地址？

当前有一个位置块 /

  location / {
    root  /var/www/docs;
    proxy_pass  http://backend;
    proxy_buffering     on;
    proxy_buffer_size   64k;
    proxy_buffers       256   64k;
  }

需要通过IP过滤。

理想情况下，为了减少 中相同指令的重复次数location，我想在location块内执行测试

  location / {

    if ($uri ~ '^/(abc|def|ghi)') {
        allow 10.0.0.0/8;
        allow 1.2.3.4;
        deny all;
    }

    root  /var/www/docs;
    proxy_pass  http://backend;
    proxy_buffering     on;
    proxy_buffer_size   64k;
    proxy_buffers       256   64k;
  }

不幸的是，似乎allow/deny指令不能在if块中使用。

/etc/nginx/sites-enabled/mysite:20 中不允许使用“允许”指令

有没有一种优雅的方法来执行测试而不重复location块？

（喜欢

  location ~ /(abc|def|ghi) {

        allow 10.0.0.0/8;
        allow 1.2.3.4;
        deny all;

        ... 5 other lines root,proxy...
   } …

我们有一台新的 VNX5300 等待配置，我需要在 EMC 技术到来之前规划网络基础架构。每个 SP 有 4x1gbit iSCSI（总共 8 个端口），在我们跳到 10gig iSCSI 之前，我想充分利用性能。

从我可以从文档中读取的内容来看 - 建议每个 SP 仅使用两个端口，1 个主动端口和 1 个被动端口。为什么是这样？拥有四端口 i/o 模块然后建议不要使用其中的两个以上似乎毫无意义？

另外 - 我对分区有点不确定。最佳实践指南指出，您应该将每个 SP 上的每个端口在不同逻辑网络上彼此分开。这是否意味着我必须创建 4 个逻辑网络才能使用所有 8 个端口？

它还给出了以下示例：

这是否意味着 A0 和 B0 也应该位于同一个物理交换机上？这不会使所有流量都通过一个交换机（如果 A1 和 B1 都是被动的）？

编辑：另一个脑筋急转弯

我不明白 - 每个主机（如服务器）的可用 iSCSI 带宽不应超过存储处理器。这到底有什么关系？如果 serverA 有 1gbit，serverB 有 100mbit，那么它们之间的结果带宽是 100mbit。这怎么会导致某种超额订阅？

Edit4：等等，什么。主动端口和被动端口？VNX 在具有非对称主动/主动的 ALUA 配置中运行......不应该有任何被动端口，只有首选端口......

这个问题显然以许多不同的形式被问过很多次，但我找不到我所拥有的具体计划的实际答案。我们经营着一个受欢迎的欧洲商业交易网站，并且从甚至无法参与我们提供的交易的国家/地区获得大量传入注册/流量（并且许多零售商甚至在西欧以外都不为人所知）。

我已经确定了阻止大量此类流量的问题区域，但是（正如预期的那样）需要数千个 IP 范围。

我现在的问题（终于！）。在测试服务器上，我创建了一个脚本来阻止 iptables 内的每个范围，但是添加规则所花费的时间很长，然后 iptables 在此之后没有响应（尤其是在尝试 iptables -L 时）。

阻止大量 IP 范围的最有效方法是什么：

• iptables？或者我可以有效地预加载它们的插件？
• 主机拒绝？
• .htaccess（讨厌，因为我会在每个负载平衡的 Web 服务器上的 apache 中运行它）？