иксные location'ы не проверяются последовательно, а строится
дерево, и поиск максимально совпадающего location'а делается
проходом по дереву. В вашем случае location /456/ оказался в
корне дерева, и поэтому проверяется первым.
--
Maxim Dounin
http://mdounin.ru/
___
подход позволяет минимизировать
количество необходимых сравнений: если строковое сравнение URI
запроса с /456/ говорит, что URI меньше, то дальнейший поиск
нужного location'а будет делаться только среди location'ов,
которые меньше /456/.
--
Max
500ms
2018/02/14 15:32:52 [emerg] 1672#1672: still could not bind()
Соответственно nginx не сможет создать новую конфигурацию, и
продолжит работать со старой.
Если такое изменение в listen-сокетах действительно необходимо, то
следует сделать restart - то есть выключить n
внимательно, что происходит при restart'е и
почему он ломается. Сам nginx при проблемах всегда пишет, в чём
дело (и в лог, и в stderr), так что либо дело не в нём, а в
init-скрипте, либо вы что-то упустили. В частности, после того,
как restart
етром stop, а затем с
параметром start. Это, в частности, с высокой вероятностью
приведёт к проблемам, если init-скрипт не дожидается собственно
завершения nginx'а, а просто отсылает сигнал и выходит.
[...]
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
t;, и
заканчивая "nginx ругался на ошибку, но init-скрипт всё спрятал".
Для начала попробуйте добавить к start-stop-daemon параметр "--no-close".
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
eader X-Auth $remote_user:$auth_failed;
}
location /auth {
set $auth_failed 1;
return 204;
}
всегда будет делаться проверка по auth_basic, и в случае, если
проверка по auth_basic не была успешна по какой-либо причине -
переменная $auth_failed будет установлена в 1.
--
Maxim D
диться, что между nginx'ом и апачами нет
какого-нибудь умного statefull firewall'а, а если вдруг есть -
убрать или тщательно исследовать на предмет настроек и ошибок.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Например
так:
error_page 404 = /error404.html;
location = /error404.html {
charset utf-8;
return 404 ' ...';
}
Или, если по каким-то причинам очень хочется именно именованный
location, то так:
error_page 404 = @err404;
: в модуле ngx_http_dav_module.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
gt; Т.к. у адрес сервера резолвился динамически, то ушло полчаса на то, чтобы
> понять где ошибка, возможно более человекопонятная надпись была бы более
> уместна.
Чтобы ловить в том числе такие проблемы - в каждом сообщении об
ошибке написан ещё и адрес upstream-сервера, к которому пытались
уст
получает сам запрос.
Чтобы такое повторить в тесте - надо в процессе предыдущей
итерации цикла успеть установить соединение, прислать запрос, и
успеть закрыть соединение.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
азы не вызываются.
Вышеописанное следует учитывать при создании модулей для
access-фазы - в случае "satisfy any" они могут не быть вызваны
вовсе (если какой-то другой модуль разрешил выполнение запроса), и
сами не должны возвращать NGX_OK, если не хотят явно разрешить
доступ клиенту, ми
жды мы
что-нибудь поменяем внутри - и оно всё сломается с удивительными
спецэффектами.
Во-вторых, он пытается менять конфигурацию внутри работающего
рабочего процесса. Это просто глупо, так как приведёт к тому, что
соответствующие структуры будут дублироваться в памяти разных
рабочих процессов
//hg.nginx.org/nginx/rev/f583559aadc7
https://trac.nginx.org/nginx/ticket/585
To fix this, consider using mirror instead of the [intentionally
undocumented] post_action directive, see
http://nginx.org/en/docs/http/ngx_http_mirror_module.html.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Есть ли возможность
> обойти/уменьшить этот таймер, кроме как менять значение в сорцах и
> перекомпилировать nginx? Можно ли поставить что-то типа inotify ивента на
> появление/изменение файла в кеше?
Нет, сейчас способов как-то повлиять на этот таймер, кроме как с
помощью малого зн
СКЛЮЧИТЕЛЬНО при обращениях через
> ipv6.
>
> Чтобы могло быть? Как можно подробнее продиагностировать - чего не хватает?
Если ответ с кодом 400 возвращает nginx - то причина будет в error
log на уровне info.
--
Maxim Dounin
http://mdounin.ru/
___
uot;2038"
>
> здесь построчно соответственно поля равны:
> 200, 0, 257
> 200, 0, 235
>
> То есть соединение корректно закрылось сразу после получения заголовков, от
> body клиент отмахался, не стал принимать?
> Если бы был HEAD запрос я бы е
;
> fastcgi_param SSL_CLIENT_CERT $ssl_client_cert;
> fastcgi_param SSL_DN $ssl_client_s_dn;
> error_log /var/log/httpd/domains/.tk.error.log error;
[...]
> В чем может быть дело?
В случае ошибок проверки сертификата - п
Hello!
On Tue, Feb 27, 2018 at 10:50:26AM -0500, monah1983 wrote:
> а где именно искать этот лог?
В сообщении, на которое вы отвечали, директива "error_log" была
процитирована не просто так.
Отмечу также, что в ней уровень логгирования был установлен в
"error", а нуж
тороны - непонятно,
откуда в современном мире может взяться OpenSSL 0.9.7, так что
возможно, вы сделали что-то экзотическое при генерации
сертификата.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
более читаемой.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
P/2, и запрещающий Upgrade. Правильнее было бы
признать проблему, и начать работать над тем, чтобы максимально
отвязать HTTP/2 от собственно HTTP, оставив его отдельным уровнем
мультиплексирования.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mai
*, server: **.**.**.**:8444
Судя по логам - соединение закрывает клиент. Почему он это
делает - надо разбираться на стороне клиента. Скорее всего ему не
нравится сертификат сервера.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-r
директиве
auth_basic_user_file в лог мог выводиться символ '\0'.
Спасибо Вадиму Филимонову.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
му так
> происходит ? Понятно что скорее всего надо увеличить
> http2_max_concurrent_streams,но понять бы что вообще происходит и
> почему в одну секунду столько запросов одинаковых создается
Скорее всего проблема в библиотеке, которую использ
location = /plug.html {
# no return here
}
Можно также пытаться сделать return на уровне server{} условно, но
смысла в этом обычно нет, использовать location'ы - проще и
правильнее.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mai
наблюдаться
как раз похожая на описанное картина.
Если действительно установленное время inactive не выдерживается,
то имеет смысл включить debug и посмотреть, что пишет cache
manager. Кроме того:
- если вдруг используются сторонние модули - стоит проверить без
н
Hello!
On Mon, Mar 26, 2018 at 12:26:38PM +0300, Serhii Kharchenko wrote:
> 25 марта 2018 г., 20:38 пользователь Maxim Dounin
> написал:
>
> > при перезапуске inactive начинает считаться от момента перезапуска
> Собственно, это и есть ответ на мой вопрос.
> Есть ли к
iphers" directive is not allowed here in
> /etc/nginx/nginx.conf:77
>
> Подскажите как можно сделать свой порядок шифров на свой протокол?
Никак.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
ожее, но как ?
В Яндексе, AFAIK, для этого художественно патчат OpenSSL.
Возможно, тут есть кто-то из Яндекса (Эльдар?), кто сможет
рассказать подробнее.
> В nginx+ есть такая возможность?
Нет.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mail
м (client hello уже разбирается для
> > получения SNI)
>
> Вот примерный патч, парсящий версию протокола в ssl_preread.
Слушайте, я всё понимаю, но смысла в этом - примерно никакого.
[...]
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mail
параметрах http_404, http_500 и им подобных директивы
proxy_next_upstream.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
в nginx'е, возможно происходящее
станет понятнее. Подробнее тут:
http://nginx.org/ru/docs/debugging_log.html
Кроме того, имеет смысл показать полную минимальную конфигурацию,
с которой воспроизводится проблема.
--
Maxim Dounin
http://mdounin.ru/
___
ng
ug log'у, в кэше лежит валидный ответ
бэкенда с "Status: 200" и "Content-Length: 0", который и отдаётся
клиенту.
Очевидно, что ответ этот nginx не сам придумал, а получил от
бэкенда. Почему бэкенд прислал именно такой ответ - надо смотреть
в debug log'е
, как например $uri и $args. И
соответственно после выполнения подзапроса в /banner/ - переменная
$handler в основном запросе в том числе будет иметь значение
"banner.html". Если потом эта переменная как-то передаются на
бэкенд, и на основании их генери
Изменения в nginx 1.13.12 10.04.2018
*) Исправление: при возврате большого ответа соединения с gRPC-бэкендами
могли неожиданно закрываться.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
ство попыток переключения на следующий бэкенд
ограничено количеством бэкендов. Однако это может быть не так в
случае использования keepalive'а к бэкендам - попытки использования
закэшированных соединений не учитываются, и суммарное количество
попыток в результате может превышать общее количество бэкендов,
приводя к сообщению "no live upstreams...", когда на все бэкенды
уже попытались сходить. Судя по всему у вас просходит именно это.
Какого-либо выключения бэкендов при этом не происходит, сообщение
относится именно к конкретному запросу.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
удя по всему форум опять промотал письмо. Не
пользуйтесь им, мы не просто так выпилили на него ссылки с
nginx.org.)
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
тал письмо. Не пользуйтесь им, мы
> не просто так выпилили на него ссылки с nginx.org.)
>
> К сожалению, иными способами пользоваться этим форумом я не умею.
Вы пишите в список рассылки. Пишете в него напрямую, не надо для
это пользоваться горе-поделками любителей форумов. Подписаться
можн
ругими подзапросами.
>
> Не уверен, что это возможно.
> FCGI-приложение требует этих переменных для своей работы.
Наиболее простое решение - использовать отдельный location для
баннеров с отдельными же переменными. Наиболее правильное -
переписать логику так, чтобы нужные бэкенду зна
Изменения в nginx 1.14.0 17.04.2018
*) Стабильная ветка 1.14.x.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
енными_. Это
важно.
Ну или вообще выкинуть переменные из конструкции, насколько я
понимаю - они тут не нужны, достаточно соответствующие
fastcgi_param задать явно.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
204. Подробнее тут:
http://nginx.org/ru/docs/http/ngx_http_split_clients_module.html
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
le собирается
по умолчанию и его сборку можно только выключить с помощью
опции --without-ngx_http_access_module.
$ ./configure --help | grep http_access
--without-http_access_module disable ngx_http_access_module
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
; подходящих переменных. Это осуществимо?
Нет, сейчас таких переменных нет.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
и
proxy_intercept_errors не менялись с момента появления
соответствующих директив.
Если подобное поведение действительно наблюдается и лечится явным
указанием "fastcgi_intercept_errors off" - было бы интересно
увидеть вывод "nginx -V" и "nginx -T".
--
Maxim Dounin
http://
ра вернул NGX_OK, но вернул при этом
мусор вместо адреса бэкенда. Наиболее вероятная причина -
какой-нибудь сторонний балансировщик, который не умеет работать с
блоками upstream{}, хранящимися в разделяемой памяти. Так что я
бы рекомендовал начать разбираться с выпиливания сторонних
модулей.
--
", host: ""
>
> Можно как-то избавиться от этих сообщений?
Логгирование ошибок подзапросов происходит в рамках основного
запроса. Соответственно от этих сообщений можно избавиться только
выключив соответствующее логгирование для основного запроса. Ну
или
inx, там будет ругань про "limiting connections by zone...", по
умолчанию на уровне error.
Впрочем, даже если ответ от nginx'а - приведённый лог не даёт
оснований считать, что limit_conn не должен был сработать.
Запросы логгируются в access log в
= ?
> +++ exited with 0 +++
>
>
> с этой стороны пульки улетели.
> на принимающей стороне - тишина.
>
> есть идеи, как это можно потраблшутить ?
Посмотреть, что при этом происходит в мастере. Если сигнала нет -
то искать ранее, кто и зачем ег
certificate
verify return:1
depth=0 CN = mdounin.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = mdounin.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/CN=mdounin.ru
i:/O=Root CA/OU=http://www.cacert.org/CN=CA
е: при использовании директивы limit_req заданная скорость
обработки запросов могла не соблюдаться.
*) Исправление: в обработке адресов клиентов при использовании unix
domain listen-сокетов для работы с датаграммами на Linux.
*) Исправление: в обработке ошибок выделения памяти.
-
ак результат ngx_http_cache_send. В
> результате соединение висит открытым.
>
> https://github.com/eustas/ngx_brotli/issues/11
А зачем вы пытаетесь возвращать NGX_DONE из фильтра тела ответа?
Что вы пытаетесь этим сказать, и из каких соображений решили, что
так можно?
--
Maxim Dou
ьёзные проблемы из-за некорректной финализации, если она
случалась с NGX_DONE.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
акое
теперь может произойти, только если где-то ошибка и всё совсем
плохо.
[...]
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
ороны клиента - приносите подробности,
будем разбираться. Если ошибками сыпет бэкенд и вы не хотите
ничего с этим делать - то спрятать такие сообщения можно, подняв
уровень логгирования в соответствующем location'е до crit.
--
Maxim Dounin
http://mdounin.ru/
_
уть до лога debug;
> Остановил nginx. Запустил nginx-debug.
>
>
> И все равно пусто.
>
> Что может быть?
Скорее всего проблема в том, что запрос - не доходит до nginx'а.
Я бы рекомендовал начать с "curl -v" и сверки IP-адресов, если не
поможет - смотреть внимательно
me - не содержит в себе GET-параметры.
Она содержит ровно то имя файла, которое nginx будет использовать
при возврате ответа с диска.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
д
маску может не подпасть ни одного файла, и это нормально. То есть
можно написать как-то так:
include /etc/nginx/fastpanel2-sites/USER/DOMAIN.TLD.include[s];
и будет использоваться указанный файл, если он есть.
--
Maxim Dounin
http://mdounin.ru/
__
t; возможно его вытащить в переменную?
Посмотреть ответ - http-ответе на запрос к соответствующему
location'у. Вытащить в переменную - проще всего в браузере, но
можно попробовать и, скажем, njs'ом.
--
Maxim Dounin
http://mdounin.ru/
___
ng
фига, а
лишь показывает все участвующие в процессе файлы.
Семантически директива include эквивалентна написанию на её месте
содержимого включаемого файла (с точностью до того факта, что во
включаемом файле могут быть только синтаксически завершённые
конструкции).
--
Maxim Dounin
http://mdounin.
с тем, которым собирается nginx. Кроме
того, стоит проверить, что perl-модуль nginx собран из тех же
исходников, что и собственно nginx, и при сборке не применялись
какие-либо патчи.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
нно точно не причина. Вы таким образом просто
отключаете not_modified фильтр, что, вероятно, позволяет не
наступать на повреждённые из-за несоответствия структур данные.
Где и при каких обстоятельствах оно на них таки наступит - никто
не знает.
--
Maxim Dounin
http://mdounin.ru/
___
ресайзить и получать ответ я не могу.
Это нужно делать в разных location'ах. И, соответствено, по
одному URI получать размер картинки, а по другому - саму картинку
в нужном размере.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
ендам.
*) Исправление: при отправке сохранённого на диск тела запроса на
gRPC-бэкенд могли возникать ошибки.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
-либо,
> кроме A-Za-z_- (таким образом фильтруется не просто юникод,
> а даже +.$\/ и куча других интересных символов) и ручки для
> отключения нет.
Ручка для отключения - есть, "ignore_invalid_headers off",
http://nginx.org/r/ignore_invalid_headers.
--
Maxim Dounin
http:/
ать какой-то такой патч, сколько-то ног он наверное
сохранит:
# HG changeset patch
# User Maxim Dounin
# Date 1530840179 -10800
# Fri Jul 06 04:22:59 2018 +0300
# Node ID 7f4aa03a8a21164881429568bd2f70a311c5c599
# Parent 54683f650cbdcd73f7f8d845c843295978da5a85
Events: added configuration
ачиная с 1.15.0 nginx ругается на наличие директивы "ssl", и
предлагает вместо неё использовать "listen ... ssl". Когда мы её
окончательно запретим - возможно, дойдут руки и до оптимизации
создания SSL-контекстов, благо при использовании "listen ... ssl"
это пол
м, что это может иметь смысл сделать,
если использование дисковой подсистемы для тел запросов не
ожидается.
Что до "пихают невпихуемое", то для этого есть директива
client_max_body_size, по умолчанию 1 мегабайт.
--
Maxim Dounin
http://mdounin.ru/
яет сигнал работающему
мастеру;
- и наконец уже мастер парсит конфигурацию, и применяет её.
Из всех этих действий нужно на самом деле только последнее. Если
в конфигурации ошибка - мастер это обнаружит сам, и конфигурацию
отклонит. Посылать сигнал мастеру можно и нужно напрям
м, он специально для этого пишется. Это, в частности,
позволит избежать неприятностей, если вдруг окажется, что nginx на
самом деле запущен не один. Или же он в процессе обновления
исполняемого файла, и соответственно мастер-процессов больше
одного.
--
Maxi
ikipedia.org/wiki/CRIME. Так что nginx всегда
запрещает сжатие на уровне SSL.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
обретает дополнительные нюансы, так как
результат может быть опять же уязвим к атакам, см.
https://en.wikipedia.org/wiki/BREACH.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Hello!
On Mon, Jul 23, 2018 at 04:07:44PM +0300, Константин Ткаченко wrote:
[...]
> А SNI почему не работает? Или работает, но есть нюанс?
Работает или не работает SNI - проще и правильнее всего проверять
с помощью "openssl s_client -connect -servername ".
--
Maxim Dounin
http
ssl_prefer_server_ciphers нельзя было выключить в виртуальном
сервере, если она была включена в сервере по умолчанию.
*) Исправление: повторное использование SSL-сессий к бэкендам не
работало с протоколом TLS 1.3.
--
Maxim Dounin
http://nginx.org/
Hello!
On Tue, Jul 24, 2018 at 08:54:25PM +0300, Alex Vorona wrote:
> 24.07.18 16:28, Maxim Dounin wrote:
> [...]
> > *) Исправление: параметр reuseport директивы listen игнорировался, если
> > количество рабочих процессов было задано после директивы listen.
&g
rror_log-е, запросы отловлен точно, они достаточно редкие.
Это нормально, warning логгируется в момент первой записи во
временный файл, в access log же запрос попадает после его
окончания.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
рает за счёт отсутствия лишних операций с
переменными и инструкций rewrite-модуля.
Впрочем, я сильно сомневаюсь, что разница будет хоть как-то
измерима по сравнению с собственно обработкой запроса даже в этом
случае, не говоря уже про общий. Так что выбирать
Hello!
On Thu, Jul 26, 2018 at 03:59:02PM +0300, Gena Makhomed wrote:
> On 26.07.2018 15:40, Maxim Dounin wrote:
>
> > Если не прояснится - попробовать воспроизвести как минимум без
> > "--add-module=../ngx_cache_purge-2.3" (не понимаю, как люди
> > отважива
Hello!
On Thu, Jul 26, 2018 at 11:42:44PM +0300, Ruslan Ermilov wrote:
> On Thu, Jul 26, 2018 at 04:50:45PM +0300, Maxim Dounin wrote:
> > On Thu, Jul 26, 2018 at 03:43:39PM +0300, kpoxa wrote:
> >
> > > Добрый день.
> > >
> > > А что будет по скорости
з них.
Утечки сокетов правильнее всего диагностировать по сообщениям
"open socket ... left in connection ..." на уровне alert при
плавном завершении рабочих процессов. Если процессы штатно
завершаются без соответствующих сообщений - проблемы нет, если не
завершаются вообще или при завер
ности обо всём этом можно прочитать в
https://tools.ietf.org/html/rfc5077#section-3.4.
Кроме того, если не используется ни кэш сессий, ни тикеты -
session id вообще не будет выбираться, и соответственно переменная
будет пустой.
--
Maxim Dounin
http://m
оэтому
не надо второй раз включать uwsgi_params) кроме собственно
обработчика (поэтому надо продублировать uwsgi_pass, если
обработка нужна такая же).
Документация есть тут:
http://nginx.org/ru/docs/http/ngx_http_core_module.html#location
Она, впрочем, довольно скромная, и сводится к т
Hello!
On Fri, Aug 17, 2018 at 06:25:38PM +0300, kpoxa wrote:
> В документации написано, что в / вкладывать нельзя
Вы ошибаетесь, такого там не написано.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
h
лён
(на самом деле - переопределён, и скажем allow/deny сработают
правильно).
[...]
> Какие будут рекомендации?
Наиболее простое и правильное решение - указать set_real_ip_from на
уровне server. Тогда адрес клиента будет переопределяться сразу
после чтения заголовков запроса, и проблемы не
на стороне бэкенда.
Всё, что можно было выжать из работы с такими бэкендами на стороне
nginx'а - уже выжато, о чём можно прочитать в тикете тут:
https://trac.nginx.org/nginx/ticket/1037. Если вдруг на бэкенде
guncorn - там же есть ссылка, по которой можно пойти и н
ентации. В содержимом блока geo переменные
не поддерживаются, соответственно в $MY_HEADER при запросе от
192.168.0.99 должна получиться сторока "$http_x_my_header".
Если нужно получить значение переменной - воспользуйтесь
дополнительно директивой map.
--
Maxim Dounin
того,
как nginx его получит из ядра.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
те найти в тикете, ссылку на
который я давал в исходном ответе.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
.
*) Изменение: некоторые клиенты могли не работать при использовании
HTTP/2; ошибка появилась в 1.13.5.
*) Исправление: nginx не собирался с LibreSSL 2.8.0.
--
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http
equests к
клиентам совпадает с keepalive_requests к бэкендам, так что если в
роли бэкенда тоже nginx - то при настройках по умолчанию он будет
закрывать соединение сам.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Hello!
On Mon, Sep 03, 2018 at 04:45:31PM +0500, Илья Шипицин wrote:
> пн, 3 сент. 2018 г. в 16:11, Maxim Dounin :
>
> > On Sun, Sep 02, 2018 at 11:12:31PM +0500, Илья Шипицин wrote:
> >
> > > есть такое наблюдение. если проксировать на апстрим БЕЗ киэлайв
Hello!
On Mon, Sep 03, 2018 at 05:43:17PM +0500, Илья Шипицин wrote:
> пн, 3 сент. 2018 г. в 17:30, Maxim Dounin :
>
> > Hello!
> >
> > On Mon, Sep 03, 2018 at 04:45:31PM +0500, Илья Шипицин wrote:
> >
> > > пн, 3 сент. 2018 г. в 16:11, Maxim Dounin :
>
у некорректный
OCSP-ответ - можно было выключить его для всех пользователей
Firefox'а[1]. Что, впрочем, не мешало Apache не иметь даже
возможности для верификации OCSP-ответов. Не в курсе, изменилось
ли с тех пор что-нибудь.
[1] https://trac.nginx.org/nginx/ticket/425#comment:2
--
Maxi
Hello!
On Mon, Sep 10, 2018 at 10:38:25PM +0300, Gena Makhomed wrote:
> On 10.09.2018 16:04, Maxim Dounin wrote:
>
> >> Если с помощью Let's Encrypt сделать SSL-сертификат
> >> для домена,например, example.com то в файле
> >> /etc/letsencrypt/live/example.
ответа
заранее неизвестен, да и range-фильтр не очень расчитан на то, чтобы
работать с подзапросами. Если отсутствие докачки не пугает - то и
хорошо.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
вует, насколько я понимаю?
> И разработчики BoringSSL тоже ничего не знают об этом?
В BoringSSL поддержики OCSP нет вообще.
--
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Hello!
On Tue, Sep 11, 2018 at 05:40:19PM +0300, Gena Makhomed wrote:
> On 11.09.2018 15:38, Maxim Dounin wrote:
>
> >>> Лучше всего - сделать так, чтобы OpenSSL научился проверять
> >>> OCSP-ответы не полной цепочкой сертификатов вплоть до доверенного
> >
Hello!
On Tue, Sep 11, 2018 at 10:00:05PM +0300, Gena Makhomed wrote:
> On 11.09.2018 18:59, Maxim Dounin wrote:
>
> >>>>> Лучше всего - сделать так, чтобы OpenSSL научился проверять
> >>>>> OCSP-ответы не полной цепочкой сертификатов вплоть до дове
Результаты 101 - 200 из 1856 matches
Mail list logo