Re: В каком порядке обрабатываются location?

иксные location'ы не проверяются последовательно, а строится дерево, и поиск максимально совпадающего location'а делается проходом по дереву. В вашем случае location /456/ оказался в корне дерева, и поэтому проверяется первым. -- Maxim Dounin http://mdounin.ru/ ___

Re: В каком порядке обрабатываются location?

подход позволяет минимизировать количество необходимых сравнений: если строковое сравнение URI запроса с /456/ говорит, что URI меньше, то дальнейший поиск нужного location'а будет делаться только среди location'ов, которые меньше /456/. -- Max

Re: nginx restart AND listen ip:port

500ms 2018/02/14 15:32:52 [emerg] 1672#1672: still could not bind() Соответственно nginx не сможет создать новую конфигурацию, и продолжит работать со старой. Если такое изменение в listen-сокетах действительно необходимо, то следует сделать restart - то есть выключить n

Re: nginx restart AND listen ip:port

внимательно, что происходит при restart'е и почему он ломается. Сам nginx при проблемах всегда пишет, в чём дело (и в лог, и в stderr), так что либо дело не в нём, а в init-скрипте, либо вы что-то упустили. В частности, после того, как restart

Re: nginx restart AND listen ip:port

етром stop, а затем с параметром start. Это, в частности, с высокой вероятностью приведёт к проблемам, если init-скрипт не дожидается собственно завершения nginx'а, а просто отсылает сигнал и выходит. [...] -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: nginx restart AND listen ip:port

t;, и заканчивая "nginx ругался на ошибку, но init-скрипт всё спрятал". Для начала попробуйте добавить к start-stop-daemon параметр "--no-close". -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Возможность проверить успешность auth_basic авторизации

eader X-Auth $remote_user:$auth_failed; } location /auth { set $auth_failed 1; return 204; } всегда будет делаться проверка по auth_basic, и в случае, если проверка по auth_basic не была успешна по какой-либо причине - переменная $auth_failed будет установлена в 1. -- Maxim D

Re: Некорректная работа при выведении сервера из апстрима за timeout

диться, что между nginx'ом и апачами нет какого-нибудь умного statefull firewall'а, а если вдруг есть - убрать или тщательно исследовать на предмет настроек и ошибок. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: О заголовке content-type

Например так: error_page 404 = /error404.html; location = /error404.html { charset utf-8; return 404 ' ...'; } Или, если по каким-то причинам очень хочется именно именованный location, то так: error_page 404 = @err404;

nginx-1.13.9

: в модуле ngx_http_dav_module. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: proxy_bind ipv4 & server ipv6

gt; Т.к. у адрес сервера резолвился динамически, то ушло полчаса на то, чтобы > понять где ошибка, возможно более человекопонятная надпись была бы более > уместна. Чтобы ловить в том числе такие проблемы - в каждом сообщении об ошибке написан ещё и адрес upstream-сервера, к которому пытались уст

Re: 499 c нулевым $request_time

получает сам запрос. Чтобы такое повторить в тесте - надо в процессе предыдущей итерации цикла успеть установить соединение, прислать запрос, и успеть закрыть соединение. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Порядок прохождения хендлеров в фазе

азы не вызываются. Вышеописанное следует учитывать при создании модулей для access-фазы - в случае "satisfy any" они могут не быть вызваны вовсе (если какой-то другой модуль разрешил выполнение запроса), и сами не должны возвращать NGX_OK, если не хотят явно разрешить доступ клиенту, ми

Re: Порядок прохождения хендлеров в фазе

жды мы что-нибудь поменяем внутри - и оно всё сломается с удивительными спецэффектами. Во-вторых, он пытается менять конфигурацию внутри работающего рабочего процесса. Это просто глупо, так как приведёт к тому, что соответствующие структуры будут дублироваться в памяти разных рабочих процессов

Re: sendfile() failed (9: Bad file descriptor) while sending request to upstream

//hg.nginx.org/nginx/rev/f583559aadc7 https://trac.nginx.org/nginx/ticket/585 To fix this, consider using mirror instead of the [intentionally undocumented] post_action directive, see http://nginx.org/en/docs/http/ngx_http_mirror_module.html. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: wait time при кешировании proxy cache

Есть ли возможность > обойти/уменьшить этот таймер, кроме как менять значение в сорцах и > перекомпилировать nginx? Можно ли поставить что-то типа inotify ивента на > появление/изменение файла в кеше? Нет, сейчас способов как-то повлиять на этот таймер, кроме как с помощью малого зн

Re: ipv6 и error 400

СКЛЮЧИТЕЛЬНО при обращениях через > ipv6. > > Чтобы могло быть? Как можно подробнее продиагностировать - чего не хватает? Если ответ с кодом 400 возвращает nginx - то причина будет в error log на уровне info. -- Maxim Dounin http://mdounin.ru/ ___

Re: GET запрос, 200 код и body_bytes_sent==0 при непустом объекте выдачи, как?

uot;2038" > > здесь построчно соответственно поля равны: > 200, 0, 257 > 200, 0, 235 > > То есть соединение корректно закрылось сразу после получения заголовков, от > body клиент отмахался, не стал принимать? > Если бы был HEAD запрос я бы е

Re: 400 Bad RequestThe SSL certificate error

; > fastcgi_param SSL_CLIENT_CERT $ssl_client_cert; > fastcgi_param SSL_DN $ssl_client_s_dn; > error_log /var/log/httpd/domains/.tk.error.log error; [...] > В чем может быть дело? В случае ошибок проверки сертификата - п

Re: 400 Bad RequestThe SSL certificate error

Hello! On Tue, Feb 27, 2018 at 10:50:26AM -0500, monah1983 wrote: > а где именно искать этот лог? В сообщении, на которое вы отвечали, директива "error_log" была процитирована не просто так. Отмечу также, что в ней уровень логгирования был установлен в "error", а нуж

Re: 400 Bad RequestThe SSL certificate error

тороны - непонятно, откуда в современном мире может взяться OpenSSL 0.9.7, так что возможно, вы сделали что-то экзотическое при генерации сертификата. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: 400 Bad RequestThe SSL certificate error

более читаемой. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: WebSockets over HTTP/2

P/2, и запрещающий Upgrade. Правильнее было бы признать проблему, и начать работать над тем, чтобы максимально отвязать HTTP/2 от собственно HTTP, оставив его отдельным уровнем мультиплексирования. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mai

Re: Непонятная ошибка при авторизации из скрипта Perl с клиентским сертификатом

*, server: **.**.**.**:8444 Судя по логам - соединение закрывает клиент. Почему он это делает - надо разбираться на стороне клиента. Скорее всего ему не нравится сертификат сервера. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-r

nginx-1.13.10

директиве auth_basic_user_file в лог мог выводиться символ '\0'. Спасибо Вадиму Филимонову. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: concurrent streams exceeded 128 while processing HTTP/2 connection

му так > происходит ? Понятно что скорее всего надо увеличить > http2_max_concurrent_streams,но понять бы что вообще происходит и > почему в одну секунду столько запросов одинаковых создается Скорее всего проблема в библиотеке, которую использ

Re: Проблема при использовании return и кастомных ошибок на уровне server

location = /plug.html { # no return here } Можно также пытаться сделать return на уровне server{} условно, но смысла в этом обычно нет, использовать location'ы - проще и правильнее. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mai

Re: cache_manager process waits 1 day to start working

наблюдаться как раз похожая на описанное картина. Если действительно установленное время inactive не выдерживается, то имеет смысл включить debug и посмотреть, что пишет cache manager. Кроме того: - если вдруг используются сторонние модули - стоит проверить без н

Re: cache_manager process waits 1 day to start working

Hello! On Mon, Mar 26, 2018 at 12:26:38PM +0300, Serhii Kharchenko wrote: > 25 марта 2018 г., 20:38 пользователь Maxim Dounin > написал: > > > при перезапуске inactive начинает считаться от момента перезапуска > Собственно, это и есть ответ на мой вопрос. > Есть ли к

Re: Хотел бы сделать такие правила для SSL:

iphers" directive is not allowed here in > /etc/nginx/nginx.conf:77 > > Подскажите как можно сделать свой порядок шифров на свой протокол? Никак. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Хотел бы сделать такие правила для SSL:

ожее, но как ? В Яндексе, AFAIK, для этого художественно патчат OpenSSL. Возможно, тут есть кто-то из Яндекса (Эльдар?), кто сможет рассказать подробнее. > В nginx+ есть такая возможность? Нет. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mail

Re: Хотел бы сделать такие правила для SSL:

м (client hello уже разбирается для > > получения SNI) > > Вот примерный патч, парсящий версию протокола в ssl_preread. Слушайте, я всё понимаю, но смысла в этом - примерно никакого. [...] -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mail

nginx-1.13.11

параметрах http_404, http_500 и им подобных директивы proxy_next_upstream. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Некорректный ответ при использовании fastcgi cache background update on

в nginx'е, возможно происходящее станет понятнее. Подробнее тут: http://nginx.org/ru/docs/debugging_log.html Кроме того, имеет смысл показать полную минимальную конфигурацию, с которой воспроизводится проблема. -- Maxim Dounin http://mdounin.ru/ ___ ng

Re: Некорректный ответ при использовании fastcgi cache background update on

ug log'у, в кэше лежит валидный ответ бэкенда с "Status: 200" и "Content-Length: 0", который и отдаётся клиенту. Очевидно, что ответ этот nginx не сам придумал, а получил от бэкенда. Почему бэкенд прислал именно такой ответ - надо смотреть в debug log'е

Re: Некорректный ответ при использовании fastcgi cache background update on

, как например $uri и $args. И соответственно после выполнения подзапроса в /banner/ - переменная $handler в основном запросе в том числе будет иметь значение "banner.html". Если потом эта переменная как-то передаются на бэкенд, и на основании их генери

nginx-1.13.12

Изменения в nginx 1.13.12 10.04.2018 *) Исправление: при возврате большого ответа соединения с gRPC-бэкендами могли неожиданно закрываться. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list

Re: max_fails=0 и no live upstreams while connecting to upstream

ство попыток переключения на следующий бэкенд ограничено количеством бэкендов. Однако это может быть не так в случае использования keepalive'а к бэкендам - попытки использования закэшированных соединений не учитываются, и суммарное количество попыток в результате может превышать общее количество бэкендов, приводя к сообщению "no live upstreams...", когда на все бэкенды уже попытались сходить. Судя по всему у вас просходит именно это. Какого-либо выключения бэкендов при этом не происходит, сообщение относится именно к конкретному запросу. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Некорректный ответ при использовании fastcgi cache background update on

удя по всему форум опять промотал письмо. Не пользуйтесь им, мы не просто так выпилили на него ссылки с nginx.org.) -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Некорректный ответ при использовании fastcgi cache background update on

тал письмо. Не пользуйтесь им, мы > не просто так выпилили на него ссылки с nginx.org.) > > К сожалению, иными способами пользоваться этим форумом я не умею. Вы пишите в список рассылки. Пишете в него напрямую, не надо для это пользоваться горе-поделками любителей форумов. Подписаться можн

Re: Некорректный ответ при использовании fastcgi cache background update on

ругими подзапросами. > > Не уверен, что это возможно. > FCGI-приложение требует этих переменных для своей работы. Наиболее простое решение - использовать отдельный location для баннеров с отдельными же переменными. Наиболее правильное - переписать логику так, чтобы нужные бэкенду зна

nginx-1.14.0

Изменения в nginx 1.14.0 17.04.2018 *) Стабильная ветка 1.14.x. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Некорректный ответ при использовании fastcgi cache background update on

енными_. Это важно. Ну или вообще выкинуть переменные из конструкции, насколько я понимаю - они тут не нужны, достаточно соответствующие fastcgi_param задать явно. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: зеркалирование (mirror) части трафика

204. Подробнее тут: http://nginx.org/ru/docs/http/ngx_http_split_clients_module.html -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: ошибка при сборке Nginx в ручную

le собирается по умолчанию и его сборку можно только выключить с помощью опции --without-ngx_http_access_module. $ ./configure --help | grep http_access --without-http_access_module disable ngx_http_access_module -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Логирование исходящего порта для *_pass

; подходящих переменных. Это осуществимо? Нет, сейчас таких переменных нет. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Сменилось умолчание на *_intercept_errors?

и proxy_intercept_errors не менялись с момента появления соответствующих директив. Если подобное поведение действительно наблюдается и лечится явным указанием "fastcgi_intercept_errors off" - было бы интересно увидеть вывод "nginx -V" и "nginx -T". -- Maxim Dounin http://

Re: падения воркера после включения max_conns

ра вернул NGX_OK, но вернул при этом мусор вместо адреса бэкенда. Наиболее вероятная причина - какой-нибудь сторонний балансировщик, который не умеет работать с блоками upstream{}, хранящимися в разделяемой памяти. Так что я бы рекомендовал начать разбираться с выпиливания сторонних модулей. --

Re: Фильтрация error_log для локейшна.

", host: "" > >  Можно как-то избавиться от этих сообщений? Логгирование ошибок подзапросов происходит в рамках основного запроса. Соответственно от этих сообщений можно избавиться только выключив соответствующее логгирование для основного запроса. Ну или

Re: Необъяснимый 503 при limit_conn

inx, там будет ругань про "limiting connections by zone...", по умолчанию на уровне error. Впрочем, даже если ответ от nginx'а - приведённый лог не даёт оснований считать, что limit_conn не должен был сработать. Запросы логгируются в access log в

Re: nginx не реагирует на HUP

= ? > +++ exited with 0 +++ > > > с этой стороны пульки улетели. > на принимающей стороне - тишина. > > есть идеи, как это можно потраблшутить ? Посмотреть, что при этом происходит в мастере. Если сигнала нет - то искать ранее, кто и зачем ег

Re: на гост-сертификате nginx отдает 2 экземпляра сертификата

certificate verify return:1 depth=0 CN = mdounin.ru verify error:num=27:certificate not trusted verify return:1 depth=0 CN = mdounin.ru verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/CN=mdounin.ru i:/O=Root CA/OU=http://www.cacert.org/CN=CA

nginx-1.15.0

е: при использовании директивы limit_req заданная скорость обработки запросов могла не соблюдаться. *) Исправление: в обработке адресов клиентов при использовании unix domain listen-сокетов для работы с датаграммами на Linux. *) Исправление: в обработке ошибок выделения памяти. -

Re: Сокет не закрывается после отправки тела

ак результат ngx_http_cache_send. В > результате соединение висит открытым. > > https://github.com/eustas/ngx_brotli/issues/11 А зачем вы пытаетесь возвращать NGX_DONE из фильтра тела ответа? Что вы пытаетесь этим сказать, и из каких соображений решили, что так можно? -- Maxim Dou

Re: Сокет не закрывается после отправки тела

ьёзные проблемы из-за некорректной финализации, если она случалась с NGX_DONE. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Сокет не закрывается после отправки тела

акое теперь может произойти, только если где-то ошибка и всё совсем плохо. [...] -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: возможность фильтрации для error_log

ороны клиента - приносите подробности, будем разбираться. Если ошибками сыпет бэкенд и вы не хотите ничего с этим делать - то спрятать такие сообщения можно, подняв уровень логгирования в соответствующем location'е до crit. -- Maxim Dounin http://mdounin.ru/ _

Re: curl: Empty reply from server nginx/1.12.0

уть до лога debug; > Остановил nginx. Запустил nginx-debug. > > > И все равно пусто. > > Что может быть? Скорее всего проблема в том, что запрос - не доходит до nginx'а. Я бы рекомендовал начать с "curl -v" и сверки IP-адресов, если не поможет - смотреть внимательно

Re: Переменная с именем файла на диске (фича реквест)

me - не содержит в себе GET-параметры. Она содержит ровно то имя файла, которое nginx будет использовать при возврате ответа с диска. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Аналог функционала IncludeOptional в Apache2

д маску может не подпасть ни одного файла, и это нормально. То есть можно написать как-то так: include /etc/nginx/fastpanel2-sites/USER/DOMAIN.TLD.include[s]; и будет использоваться указанный файл, если он есть. -- Maxim Dounin http://mdounin.ru/ __

Re: image_filter size

t; возможно его вытащить в переменную? Посмотреть ответ - http-ответе на запрос к соответствующему location'у. Вытащить в переменную - проще всего в браузере, но можно попробовать и, скажем, njs'ом. -- Maxim Dounin http://mdounin.ru/ ___ ng

Re: Как работает include

фига, а лишь показывает все участвующие в процессе файлы. Семантически директива include эквивалентна написанию на её месте содержимого включаемого файла (с точностью до того факта, что во включаемом файле могут быть только синтаксически завершённые конструкции). -- Maxim Dounin http://mdounin.

Re: Воркер падает в корку по SIGSEGV (с примером)

с тем, которым собирается nginx. Кроме того, стоит проверить, что perl-модуль nginx собран из тех же исходников, что и собственно nginx, и при сборке не применялись какие-либо патчи. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Воркер падает в корку по SIGSEGV (с примером)

нно точно не причина. Вы таким образом просто отключаете not_modified фильтр, что, вероятно, позволяет не наступать на повреждённые из-за несоответствия структур данные. Где и при каких обстоятельствах оно на них таки наступит - никто не знает. -- Maxim Dounin http://mdounin.ru/ ___

Re: image_filter size

ресайзить и получать ответ я не могу. Это нужно делать в разных location'ах. И, соответствено, по одному URI получать размер картинки, а по другому - саму картинку в нужном размере. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

nginx-1.15.1

ендам. *) Исправление: при отправке сохранённого на диск тела запроса на gRPC-бэкенд могли возникать ошибки. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: unit: 400 ошибка при заголовках, содержащих юникод

-либо, > кроме A-Za-z_- (таким образом фильтруется не просто юникод, > а даже +.$\/ и куча других интересных символов) и ручки для > отключения нет. Ручка для отключения - есть, "ignore_invalid_headers off", http://nginx.org/r/ignore_invalid_headers. -- Maxim Dounin http:/

Re: "worker_connections are not enough" - обсудим ?

ать какой-то такой патч, сколько-то ног он наверное сохранит: # HG changeset patch # User Maxim Dounin # Date 1530840179 -10800 # Fri Jul 06 04:22:59 2018 +0300 # Node ID 7f4aa03a8a21164881429568bd2f70a311c5c599 # Parent 54683f650cbdcd73f7f8d845c843295978da5a85 Events: added configuration

Re: ngx ssl certificates вызывается даже для сайтов без ssl

ачиная с 1.15.0 nginx ругается на наличие директивы "ssl", и предлагает вместо неё использовать "listen ... ssl". Когда мы её окончательно запретим - возможно, дойдут руки и до оптимизации создания SSL-контекстов, благо при использовании "listen ... ssl" это пол

Re: a client request body is buffered to a temporary file

м, что это может иметь смысл сделать, если использование дисковой подсистемы для тел запросов не ожидается. Что до "пихают невпихуемое", то для этого есть директива client_max_body_size, по умолчанию 1 мегабайт. -- Maxim Dounin http://mdounin.ru/

Re: ngx ssl certificates вызывается даже для сайтов без ssl

яет сигнал работающему мастеру; - и наконец уже мастер парсит конфигурацию, и применяет её. Из всех этих действий нужно на самом деле только последнее. Если в конфигурации ошибка - мастер это обнаружит сам, и конфигурацию отклонит. Посылать сигнал мастеру можно и нужно напрям

Re: ngx ssl certificates вызывается даже для сайтов без ssl

м, он специально для этого пишется. Это, в частности, позволит избежать неприятностей, если вдруг окажется, что nginx на самом деле запущен не один. Или же он в процессе обновления исполняемого файла, и соответственно мастер-процессов больше одного. -- Maxi

Re: Gzip + https: есть-ли смысл?

ikipedia.org/wiki/CRIME. Так что nginx всегда запрещает сжатие на уровне SSL. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Gzip + https: есть-ли смысл?

обретает дополнительные нюансы, так как результат может быть опять же уязвим к атакам, см. https://en.wikipedia.org/wiki/BREACH. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Не работает SNI и http2

Hello! On Mon, Jul 23, 2018 at 04:07:44PM +0300, Константин Ткаченко wrote: [...] > А SNI почему не работает? Или работает, но есть нюанс? Работает или не работает SNI - проще и правильнее всего проверять с помощью "openssl s_client -connect -servername ". -- Maxim Dounin http

nginx-1.15.2

ssl_prefer_server_ciphers нельзя было выключить в виртуальном сервере, если она была включена в сервере по умолчанию. *) Исправление: повторное использование SSL-сессий к бэкендам не работало с протоколом TLS 1.3. -- Maxim Dounin http://nginx.org/

Re: nginx-1.15.2

Hello! On Tue, Jul 24, 2018 at 08:54:25PM +0300, Alex Vorona wrote: > 24.07.18 16:28, Maxim Dounin wrote: > [...] > > *) Исправление: параметр reuseport директивы listen игнорировался, если > > количество рабочих процессов было задано после директивы listen. &g

Re: a client request body is buffered to a temporary file

rror_log-е, запросы отловлен точно, они достаточно редкие. Это нормально, warning логгируется в момент первой записи во временный файл, в access log же запрос попадает после его окончания. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: location vs map по скорость

рает за счёт отсутствия лишних операций с переменными и инструкций rewrite-модуля. Впрочем, я сильно сомневаюсь, что разница будет хоть как-то измерима по сравнению с собственно обработкой запроса даже в этом случае, не говоря уже про общий. Так что выбирать

Re: proxy_cache_purge

Hello! On Thu, Jul 26, 2018 at 03:59:02PM +0300, Gena Makhomed wrote: > On 26.07.2018 15:40, Maxim Dounin wrote: > > > Если не прояснится - попробовать воспроизвести как минимум без > > "--add-module=../ngx_cache_purge-2.3" (не понимаю, как люди > > отважива

Re: location vs map по скорость

Hello! On Thu, Jul 26, 2018 at 11:42:44PM +0300, Ruslan Ermilov wrote: > On Thu, Jul 26, 2018 at 04:50:45PM +0300, Maxim Dounin wrote: > > On Thu, Jul 26, 2018 at 03:43:39PM +0300, kpoxa wrote: > > > > > Добрый день. > > > > > > А что будет по скорости

Re: ignore long locked inactive cache entry

з них. Утечки сокетов правильнее всего диагностировать по сообщениям "open socket ... left in connection ..." на уровне alert при плавном завершении рабочих процессов. Если процессы штатно завершаются без соответствующих сообщений - проблемы нет, если не завершаются вообще или при завер

Re: Механизм назначения переменной $ssl session id

ности обо всём этом можно прочитать в https://tools.ietf.org/html/rfc5077#section-3.4. Кроме того, если не используется ни кэш сессий, ни тикеты - session id вообще не будет выбираться, и соответственно переменная будет пустой. -- Maxim Dounin http://m

Re: Документация на вложенные location

оэтому не надо второй раз включать uwsgi_params) кроме собственно обработчика (поэтому надо продублировать uwsgi_pass, если обработка нужна такая же). Документация есть тут: http://nginx.org/ru/docs/http/ngx_http_core_module.html#location Она, впрочем, довольно скромная, и сводится к т

Re: Документация на вложенные location

Hello! On Fri, Aug 17, 2018 at 06:25:38PM +0300, kpoxa wrote: > В документации написано, что в / вкладывать нельзя Вы ошибаетесь, такого там не написано. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org h

Re: secure_link + realip + if

лён (на самом деле - переопределён, и скажем allow/deny сработают правильно). [...] > Какие будут рекомендации? Наиболее простое и правильное решение - указать set_real_ip_from на уровне server. Тогда адрес клиента будет переопределяться сразу после чтения заголовков запроса, и проблемы не

Re: Nginx отдает клиенту 502, но получает от backend 401

на стороне бэкенда. Всё, что можно было выжать из работы с такими бэкендами на стороне nginx'а - уже выжато, о чём можно прочитать в тикете тут: https://trac.nginx.org/nginx/ticket/1037. Если вдруг на бэкенде guncorn - там же есть ссылка, по которой можно пойти и н

Re: Не работает $http x в контексте http, а именно в geo

ентации. В содержимом блока geo переменные не поддерживаются, соответственно в $MY_HEADER при запросе от 192.168.0.99 должна получиться сторока "$http_x_my_header". Если нужно получить значение переменной - воспользуйтесь дополнительно директивой map. -- Maxim Dounin

Re: Nginx отдает клиенту 502, но получает от backend 401

того, как nginx его получит из ядра. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Nginx отдает клиенту 502, но получает от backend 401

те найти в тикете, ссылку на который я давал в исходном ответе. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

nginx-1.15.3

. *) Изменение: некоторые клиенты могли не работать при использовании HTTP/2; ошибка появилась в 1.13.5. *) Исправление: nginx не собирался с LibreSSL 2.8.0. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http

Re: как правильно закрывать соединения при наступлении keepalive_requests: обсудим ?

equests к клиентам совпадает с keepalive_requests к бэкендам, так что если в роли бэкенда тоже nginx - то при настройках по умолчанию он будет закрывать соединение сам. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: как правильно закрывать соединения при наступлении keepalive_requests: обсудим ?

Hello! On Mon, Sep 03, 2018 at 04:45:31PM +0500, Илья Шипицин wrote: > пн, 3 сент. 2018 г. в 16:11, Maxim Dounin : > > > On Sun, Sep 02, 2018 at 11:12:31PM +0500, Илья Шипицин wrote: > > > > > есть такое наблюдение. если проксировать на апстрим БЕЗ киэлайв

Re: как правильно закрывать соединения при наступлении keepalive_requests: обсудим ?

Hello! On Mon, Sep 03, 2018 at 05:43:17PM +0500, Илья Шипицин wrote: > пн, 3 сент. 2018 г. в 17:30, Maxim Dounin : > > > Hello! > > > > On Mon, Sep 03, 2018 at 04:45:31PM +0500, Илья Шипицин wrote: > > > > > пн, 3 сент. 2018 г. в 16:11, Maxim Dounin : >

Re: OCSP stapling in Nginx >=1.3.7

у некорректный OCSP-ответ - можно было выключить его для всех пользователей Firefox'а[1]. Что, впрочем, не мешало Apache не иметь даже возможности для верификации OCSP-ответов. Не в курсе, изменилось ли с тех пор что-нибудь. [1] https://trac.nginx.org/nginx/ticket/425#comment:2 -- Maxi

Re: OCSP stapling in Nginx >=1.3.7

Hello! On Mon, Sep 10, 2018 at 10:38:25PM +0300, Gena Makhomed wrote: > On 10.09.2018 16:04, Maxim Dounin wrote: > > >> Если с помощью Let's Encrypt сделать SSL-сертификат > >> для домена,например, example.com то в файле > >> /etc/letsencrypt/live/example.

Re: SSI для бинарных данных или аналог

ответа заранее неизвестен, да и range-фильтр не очень расчитан на то, чтобы работать с подзапросами. Если отсутствие докачки не пугает - то и хорошо. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: OCSP stapling in Nginx >=1.3.7

вует, насколько я понимаю? > И разработчики BoringSSL тоже ничего не знают об этом? В BoringSSL поддержики OCSP нет вообще. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: OCSP stapling in Nginx >=1.3.7

Hello! On Tue, Sep 11, 2018 at 05:40:19PM +0300, Gena Makhomed wrote: > On 11.09.2018 15:38, Maxim Dounin wrote: > > >>> Лучше всего - сделать так, чтобы OpenSSL научился проверять > >>> OCSP-ответы не полной цепочкой сертификатов вплоть до доверенного > >

Re: OCSP stapling in Nginx >=1.3.7

Hello! On Tue, Sep 11, 2018 at 10:00:05PM +0300, Gena Makhomed wrote: > On 11.09.2018 18:59, Maxim Dounin wrote: > > >>>>> Лучше всего - сделать так, чтобы OpenSSL научился проверять > >>>>> OCSP-ответы не полной цепочкой сертификатов вплоть до дове

<    1   2   3   4   5   6   7   8   9   10   >