Здравствуйте, All!
есть такой конфиг:
# cat /etc/nginx/nginx.conf
events {
worker_connections 10240;
}
stream {
server {
listen [::]:443 bind default_server ssl;
listen 443 bind default_server ssl;
ssl_reject_handshake on;
}
}
при попытке его тестирования -
Здравствуйте, All!
В статье https://www.nginx.com/blog/websocket-nginx/
рекомендуется такой код:
http {
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
upstream websocket {
server 192.168.100.10:8010;
}
server {
listen 80
On 21.02.2024 14:54, Anatoliy Melnik via nginx-ru wrote:
Если вы предлагаете писать напрямую с nginx-а в файл --
сделайте у себя ротацию файлов с интервалом 30 сек
при 200-250 тыс подключений/сек...
Если у вас уже есть такое рабочее решение -
поделитесь опытом, буду рад вас выслушать.
Я намер
On 19.02.2024 16:01, Anatoliy Melnik via nginx-ru wrote:
Если вы предлагаете писать напрямую с nginx-а в файл --
сделайте у себя ротацию файлов с интервалом 30 сек
при 200-250 тыс подключений/сек...
Если у вас уже есть такое рабочее решение -
поделитесь опытом, буду рад вас выслушать.
Я намер
On 15.02.2024 12:18, Maxim Dounin wrote:
> Во-первых, название freenginx - хорошо отражает суть проекта.
> Поэтому оно и было выбрано.
Это действительно наилучший вариант имени для проекта,
потому что оно наилучшим образом отражает суть проекта.
Я так понимаю, что в будущем - коммерческой верси
On 15.02.2024 22:06, Evgeniy Berdnikov wrote:
Вопрос знатокам: сколько стоит нынче зарегистрировать торговую марку
хотя бы в крупных англоязычных юрисдикциях -- США, Канада, Англия,
плюс Индия и Австралия? Сколько ещё потребуется, чтобы приплюсовать
Европу и Китай?
Вы много чего написали, но
On 15.02.2024 12:49, Anatoliy Melnik via nginx-ru wrote:
Если вы предлагаете писать напрямую с nginx-а в файл --
сделайте у себя ротацию файлов с интервалом 30 сек
при 200-250 тыс подключений/сек...
Если у вас уже есть такое рабочее решение -
поделитесь опытом, буду рад вас выслушать.
"Я нам
On 15.02.2024 16:39, Evgeniy Berdnikov wrote:
Поэтому - лучше будет для основной ветки веб-сервера выбрать какое-то
имя, которое не является ничьей торговой маркой и для защиты этого
имени - зарегистрировать свою торговую марку,
Вопрос знатокам: сколько стоит нынче зарегистрировать торговую
On 15.02.2024 12:18, Maxim Dounin wrote:
Так что, начиная с сегодняшнего дня, я больше не участвую в
разработке nginx'а в рамках F5. Вместо этого я запускаю
альтернативный проект, управлять которым будут разработчики, а не
корпоративные структуры:
http://freenginx.org/
Цель проекта - обеспечи
On 14.02.2024 13:30, Anatoliy Melnik via nginx-ru wrote:
Если вы предлагаете писать напрямую с nginx-а в файл --
сделайте у себя ротацию файлов с интервалом 30 сек
при 200-250 тыс подключений/сек...
Если у вас уже есть такое рабочее решение -
поделитесь опытом, буду рад вас выслушать.
В этом
On 14.02.2024 19:59, Maxim Dounin wrote:
Подобный подход можно понять: они владеют проектом, и могут с ним
делать всё, что считают нужным, включая подобные маркетинговые
акции. Это, однако, противоречит нашемоу соглашению. И, что более
важно, я больше не имею возможности как-либо контролироват
On 05.02.2024 15:21, Anatoliy Melnik via nginx-ru wrote:
>> какую именно проблему Вы пытаетесь решить с помощью записи логов
>> в unix socket, чтения данных из unix socket`а питоновским скриптом
>> и потом записи данных этим питоновским скриптом в текстовой файл?
> Если вы предлагаете писать нап
On 13.02.2024 4:21, Gena Makhomed wrote:
Когда свободного места на диске нет - то nginx туда, естественно,
ничего и не пишет, когда свободное место появляется - процесс записи
логов автоматически продолжается, тут ничего настраивать не нужно.
Единственная проблема которая есть в такой сиутации
On 12.02.2024 12:30, Anatoliy Melnik via nginx-ru wrote:
Из его собщения от 5 февраля однозначно следует, что он
уже пытался настроить запись логов напрямую в файл но не смог
получить рабочего решения при 200-250 тысячах подключений в секунду
и необходимости делать ротацию лога каждые 30 секунд.
On 12.02.2024 11:53, Evgeniy Berdnikov wrote:
Ротация логов делается с помощью программы logrotate, которая делает
ротацию только по времени и никак не смотрит на количество свободного
места на диске и на размер лог-файла.
Насчёт размера файла утверждение неверное: в конфиге logrotate можно
On 11.02.2024 23:02, Evgeniy Berdnikov wrote:
Вполне возможно, что товарищ никого не обманывает, и ему действительно
обсуждать постановку задачи скучно, неинтересно, и даже "бесполезно"
в том смысле, что он не готов к обсасыванию этой темы: то ли слишком
непривычно и оттого голова напряг
On 09.02.2024 13:33, Anatoliy Melnik via nginx-ru wrote:
Есть nginx-ы, несколько разных версий. Проксируют запросы к бекэндам.
Логи льются в syslog (слив в файлы напрямую из nginx не желателен).
Несколько дней тому назад, в своем сообщении от 5 февраля 2024 года
Вы озвучивали совсем другую при
On 05.02.2024 23:21, Evgeniy Berdnikov wrote:
Если у вас уже есть такое рабочее решение - поделитесь опытом, буду рад вас
выслушать.
Создание нормального рабочего решения должно начинаться
с внимательного чтения документации и исходников nginx.
Насчёт чтения исходников -- выглядит приме
On 05.02.2024 15:21, Anatoliy Melnik via nginx-ru wrote:
какую именно проблему Вы пытаетесь решить с помощью записи логов
в unix socket, чтения данных из unix socket`а питоновским скриптом
и потом записи данных этим питоновским скриптом в текстовой файл?
Если вы предлагаете писать напрямую с n
On 05.02.2024 13:40, Anatoliy Melnik via nginx-ru wrote:
Итак конечный вариант решения:
Данные почти равномерно расходятся по 10-ти файлам, которые пишутся на tmpfs в
RAM.
Отказался и от rsyslog и от syslog-ng
В качестве принимающей стороны выступает пока python скрипт
В нем стартую 10 процесс
Здравствуйте, All!
Наследование директив proxy_hide_header и proxy_pass_header
не работает ожидаемым образом, nginx 1.25.1
конфиг:
http {
proxy_pass_header Content-Disposition;
server {
server_name sentry.example.com;
location / {
proxy_hide_header Content
Здравствуйте, All!
https://www.opennet.ru/opennews/art.shtml?num=59383
Уязвимость конфигураций Nginx с некорректными настройками блока alias
Это было сделано для максимизации производительности работы nginx,
и в данный момент эту проблему в коде nginx уже нельзя исправить
по причине обратной сов
On 09.06.2023 9:29, Maxim Dounin wrote:
(1) client ==> vps_server ==> main_server
(2) client ==> cloudflare => vps_server ==> main_server
Если у вас в обоих случаях vps_server проксирует всё через stream
с proxy_protocol, то на принимающей стороне вам в любом случае
надо сначала достать реал
On 06.06.2023 14:00, Илья Шипицин wrote:
(на vps выставлять маркер, с клаудфлера запрос или нет
$http_are_we_behind_cloudflare и по этому маркеру брать из одного или
другого хедера)
но в целом - это то самое "программирование на конфигах"
map $http_are_we_behind_cloudflare $real_remote_addr {
On 05.06.2023 13:06, Илья Шипицин wrote:
я делал каскадные map-ы (когда переменная задается через переменную,
задаваемую другим map-ом).
"Talk is cheap. Show me the code" ― Linus Torvalds.
возможно, в каком-то приближении, именно за счет маркера "запрос пришел
с прокси" или "запрос пришел не
Здравствуйте, All!
Есть такая конфигурация:
(1) client ==> vps_server ==> main_server
(2) client ==> cloudflare => vps_server ==> main_server
vps_server слушает на 80 и 443 портах и через модуль stream проксирует
запроcы на main_server через tcp, передавая на main_server информацию
о реальном
Максим, можете рассказать, что Вы думаете по этому поводу?
Первый выпуск Angie, форка Nginx от разработчиков, ушедших из компании F5
https://www.opennet.ru/opennews/art.shtml?num=58036
Из дальнейших планов отмечается значительное расширение исходной
функциональности при сохранении базовой совме
On 25.10.2022 8:14, Илья Шипицин wrote:
Может быть имеет смысл научить nginx, чтобы он выдавал варнинг
в момент чтения конфигурации, если пользователь будет пытаться
задавать разные ssl_protocols в name-based виртуальных серверах?
это наверное критикал. т.е. человек делает конфиг, который в с
On 25.10.2022 7:28, Maxim Dounin wrote:
https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600
Полной конфигурации там не приведено, так что остаётся только
гадать, но судя по всему это очередной пользователь, который
пытается задавать разные ssl_protocols в name-b
Здравствуйте, All!
У некоторых пользователей nginx возникли затруднения:
https://github.com/mozilla/ssl-config-generator/issues/124#issuecomment-1288224600
Только не понятно, это ошибка в самом nginx или ошибка в документации к
nginx.
Максим, можете ответить этому пользователю на github, в ч
On 22.09.2022 22:17, Dmytro Lavryk wrote:
У меня лично, что падает. Я не настолько силен, чтобы с корефайлами разобраться
:( Просто странности - что с идентичными сборками (в плане сторонних модулей)
на одних серверах воркеры падают периодически, а на других работают без
проблем. Я как раз из
On 17.08.2022 17:41, dim1 wrote:
Нигде в конфиге НЕ указана: default_server;
Поэтому дефолтовым будет первый сервер в списке.
https://nginx.org/ru/docs/http/ngx_http_core_module.html#listen
Если у директивы есть параметр default_server, то сервер, в котором
описана эта директива, будет серв
On 26.07.2022 16:59, Maxim Dounin wrote:
>> 2022/07/23 16:26:33 [alert] 849481#849481: *8078448 could not allocate
>> new session in SSL session shared cache "le_nginx_SSL" while SSL
>> handshaking, client: 175.156.80.121, server: 0.0.0.0:443
[...]
Если не будет в логах ошибок - каким образо
On 26.07.2022 0:34, Maxim Dounin wrote:
>> 2022/07/23 16:26:33 [alert] 849481#849481: *8078448 could not allocate
>> new session in SSL session shared cache "le_nginx_SSL" while SSL
>> handshaking, client: 175.156.80.121, server: 0.0.0.0:443
>
> This error indicate that nginx wasn't ab
On 24.07.2022 1:15, Maxim Dounin wrote:
>> My nginx error log is being filled with errors which I believe are being
>> surfaced from OpenSSL. The log entries number in the hundreds of
>> thousands per day and I understand they are most likely due to
>> conditions beyond my control. Examples of th
On 21.07.2022 13:42, Илья Шипицин wrote:
как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.
Это подробно обсуждалось в 2018 году в этом списке рассылки:
https://mailman.nginx.org/pipermail/nginx-ru/2018-September/thread.html#61447
Наиболее интересные сообщения из этого
On 12.07.2022 22:59, Илья Шипицин wrote:
если рассматривать с точки зрения эффективного использования диска, то поля
$scheme, $host являются практически константами, можно не логировать их на
каждую строчку лога (а, например, разнести разные host-ы по разным логам).
Разнести разные host-ы по р
On 12.07.2022 23:37, Maxim Dounin wrote:
Историческая справка, не имеющая отношения к обсуждаемому вопросу:
эскейпинг специальных символов в access-логах делался как раз для
удобного автоматического парсинга tab separated логов. Hint:
кавычки вокруг произвольных строковых полей использовать не
On 12.07.2022 22:27, Илья Шипицин wrote:
Директива proxy_max_temp_file_size 0; на nginx frontend у меня прописана
Но она влияет только на буферизацию проксируемых от backend`ов ответов.
Полностью отключить использование диска nginx frontend
для проксирования и запросов и ответов можно
с помощью
On 12.07.2022 20:12, Илья Шипицин wrote:
и еще примерно 20% - это "предупреждения" о том, что
a client request body is buffered to a temporary file
это же можно выключить через proxy_request_buffering ?
Да, в моем случае - это вполне подходит, спасибо.
proxy_http_version 1.1;
proxy
On 12.07.2022 18:40, Maxim Dounin wrote:
А что у вас по осям? (c)
В смысле - что в log_format? Следом за $status обычно идёт
$body_bytes_sent, и это размер тела ответа, имеющий приблизительно
никакого отношения к размеру тела запроса.
На том сервере log_format такой:
log_format frontend '$t
On 12.07.2022 17:51, Maxim Dounin wrote:
Ограничения и ошибки доступа логгируются на уровне error, так как
считаются важными (и, вообще говоря, не являются ошибками в
клиентских запросах, а являются ошибками обработки клиентских
запросов). Как в случае access forbidden by rule в allow/deny,
так
On 10.07.2022 11:41, Maxim Dounin wrote:
Вы чуть раньше в этом треде писали Илье, "client sent plain HTTP
request to HTTPS port". Как и другие ошибки в клиентских
запросах, эти ошибки логгируются на уровне info.
nginx/1.23.0 из официального репозитория nginx.org
В error.log есть такая запись
Здравствуйте, All!
nginx/1.23.0 из официального репозитория nginx.org
В логах есть такой варнинг:
2022/07/12 13:56:37 [warn] 14352#14352: *183 a client request body is
buffered to a temporary file /var/cache/nginx/client_temp/11,
client: 10.23.154.207, server: sentry.example.com, requ
On 10.07.2022 11:41, Maxim Dounin wrote:
Как выловить такие ошибки в логе?
я их не вижу, есть ошибки типа warn Но это не то.
Вы чуть раньше в этом треде писали Илье, "client sent plain HTTP
request to HTTPS port". Как и другие ошибки в клиентских
запросах, эти ошибки логгируются на уровне in
On 06.07.2022 22:00, Maxim Dounin wrote:
Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было"). Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
D
On 06.07.2022 0:52, Maxim Dounin wrote:
Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было"). Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
De
On 06.07.2022 4:52, Maxim Dounin wrote:
Возможность задавать конфигурацию с помощью "listen ... ssl"
появилась в nginx 0.7.14.
У вас явно некорректная конфигурация, использующая "ssl on;".
Кстати, директива "ssl on;" находится в состоянии deprecated
начиная с версии 1.15.0, вышедшей 05 Jun
On 05.07.2022 15:55, Maxim Dounin wrote:
Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было"). Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
D
Здравствуйте, All!
В документации к nginx встречается
упоминание про директиву memcached_force_ranges
https://nginx.org/en/docs/http/ngx_http_memcached_module.html#memcached_force_ranges
Однако, в исходниках nginx нет директивы memcached_force_ranges
- похоже на то, что директиву из исходников
On 24.03.2022 12:30, dim1 wrote:
Возникла идея быстрого подсчета посетителей - выделив отдельный лог для
запросов картинки логотипа с сайта.
Но, для того, чтобы подсчет был корректным - нужно полностью отключить
кеширование этой одной картинки.
Есть ли в nginx ли простая возможность вставки слу
Здравствуйте, All!
Ошибка в русской документации к директиве js_import:
http://nginx.org/ru/docs/http/ngx_http_js_module.html#js_import
Синтаксис: js_import модуль.js | имя_экспорта из модуль.js;
http://nginx.org/en/docs/http/ngx_http_js_module.html#js_import
Syntax: js_import module.js | exp
https://www.opennet.ru/opennews/art.shtml?num=56535
Игорь Сысоев ушёл из компаний F5 Network и покинул проект NGINX
Игорь Сысоев, создатель высокопроизводительного HTTP-сервера NGINX,
уволился из компании F5 Network, в которой после продажи компании NGINX
Inc находился в числе технических рук
On 05.01.2022 14:35, Maxim Dounin wrote:
Неполные ответы nginx не сохраняет. Однако есть нюанс: по
умолчанию при работе с бэкендами nginx использует HTTP/1.0
(http://nginx.org/r/proxy_http_version), а значит
"Transfer-Encoding: chunked" использоваться не будет, и
соответственно для ответов без
Здравствуйте, Максим!
On 15.12.2021 15:39, Maxim Dounin wrote:
Воспроизводится ли проблема на приведённом конфиге в чистом виде,
без каких-либо других location'ов и/или rewrite'ов? Если да
- то как выглядит минимальный конфиг, на котором проблема
воспроизводится, полностью (nginx -T)?
Восп
Здравствуйте, Максим!
On 15.12.2021 1:33, Maxim Dounin wrote:
Воспроизводится ли проблема на приведённом конфиге в чистом виде,
без каких-либо других location'ов и/или rewrite'ов? Если да - то
как выглядит минимальный конфиг, на котором проблема
воспроизводится, полностью (nginx -T)? Что пока
Здравствуйте!
Есть такой конфиг:
location /download {
proxy_pass http://unix:/run/gunicorn.sock;
}
location /download/ {
alias /home/www/download/;
charset utf-8;
autoindex on;
autoindex_localtime on;
}
при этом nginx почему-то и зачем-то
Здравствуйте, All!
Можно ли настроить nginx + njs таким образом, чтобы некоторые
get-параметры он вырезал из запроса перед передачей их на backend?
например,
?utm_source=instagram&utm_medium=hipolink&utm_campaign=slidebutton
?gclid=CjwKCAiAqIKNBhAIEiwAu_ZLDrzAZL_PrmbGRP-cyi5liGx-lMu3oapGZ
?fbcl
On 03.06.2021 0:40, Shilov wrote:
Использую на базе Nginx реверсный прокси, работает чудесно, спасибо его
создателю!
Как в нем грамотно сделать то же самое - ограничить доступ к нему со всех
стран, кроме своей и некоторых сервисов (гугл, счетчик и т.п.)?
самый простой способ - это закрыть с
On 25.05.2021 15:01, Maxim Dounin wrote:
Возможно, когда-нибудь добавится концепция "явно унаследовать
список с предыдущего уровня и дать возможность дополнить его",
что-нибудь вроде
add_header inherit;
add_header Foo bar;
Что по сути аналогично использованию include-файла, но чуть п
On 24.05.2021 6:05, Maxim Dounin wrote:
Можете поставить haproxy - он как раз будет держать клиента секунд 10,
пока бекэнды перезагружаются. Браузеру придётся ждать эти 10 секунд,
но зато он не получит 5хх ошибку.
Могу поставить haproxy, но haproxy - это не веб-сервер, он не умеет
отдавать ста
On 24.05.2021 4:19, Maxim Dounin wrote:
add_trailer X-Response-Time $upstream_response_time always;
add_trailer X-Cache-Status $upstream_cache_status always;
Чтение трейлеров от бэкендов сейчас поддерживается только для
gRPC-бэкендов. Если хочется, чтобы работало и для HTTP/1.1
с chunked - пр
On 23.05.2021 1:25, Andrey Kopeyko wrote:
Добрый день, Геннадий!
Здравствуйте, Андрей!
Использую nginx/1.19.10 из официального репозитория nginx.org
На бэкенде в секции http прописал такие директивы:
add_trailer X-Response-Time $upstream_response_time always;
add_trailer X-Cache-Status $up
Здравствуйте, All!
Использую nginx/1.19.10 из официального репозитория nginx.org
На бэкенде в секции http прописал такие директивы:
add_trailer X-Response-Time $upstream_response_time always;
add_trailer X-Cache-Status $upstream_cache_status always;
На фронтенде в секции http прописал proxy_ht
On 22.05.2021 18:22, Oleg A. Mamontov wrote:
Функциональность, позволяющая реализовать подобную логику,
имеется в коммерческой версии:
http://nginx.org/ru/docs/http/ngx_http_upstream_module.html#queue
Хостинг сайтов на PHP - это не тот бизнес, который даст возможность
купить коммерческую верс
On 22.05.2021 15:31, fox wrote:
Можете поставить haproxy - он как раз будет держать клиента секунд 10,
пока бекэнды перезагружаются. Браузеру придётся ждать эти 10 секунд,
но зато он не получит 5хх ошибку.
Могу поставить haproxy, но haproxy - это не веб-сервер, он не умеет
отдавать статику. З
On 21.05.2021 11:20, Evgeniy Berdnikov wrote:
nginx и php-fpm у меня находятся на одном и том же хосте,
связь между ними идет через unix domain socket по протоколу fastcgi.
...
Речь идет о перезапуске php-fpm командой "systemctl restart php-fpm"
Если делать "systemctl reload php-fpm" - это не
On 21.05.2021 10:09, Evgeniy Berdnikov wrote:
Есть nginx, который проксирует запросы на единственный бекенд php-fpm.
Во время перезапуска php-fpm клиентам сразу сыпятся 5хх ошибки.
Каким образом можно настроить nginx так, чтобы он в случае ошибки
связи с бекендом пытался достучаться до него в т
Здравствуйте, All!
Есть nginx, который проксирует запросы на единственный бекенд php-fpm.
Во время перезапуска php-fpm клиентам сразу сыпятся 5хх ошибки.
Каким образом можно настроить nginx так, чтобы он в случае ошибки
связи с бекендом пытался достучаться до него в течении N секунд
(например, 3
On 08.05.2021 0:36, Maxim Dounin wrote:
Скорее всего в данном случае дело в aio_write, см.
https://trac.nginx.org/nginx/ticket/2162.
Максим, Вы говорите в комментариях к этому тикету:
> It is not expected to affect real-world use cases,
> though probably worth fixing anyway.
У меня этот
On 07.05.2021 21:19, Maxim Dounin wrote:
[alert] 2569378#2569378: *449013402 open socket #29 left in connection 3
[alert] 2569378#2569378: *449013403 open socket #32 left in connection 8
[alert] 2569378#2569378: aborting
[...]
Конфиг бекенда, на котором была эта ошибка, примерно такой:
Здравствуйте, All!
Использую nginx 1.19.10 из официального репозитория на сайте nginx.org,
без сторонних модулей. При этом в логах наблюдаются такие строки:
[alert] 2569378#2569378: *449013402 open socket #29 left in connection 3
[alert] 2569378#2569378: *449013403 open socket #32 left in connec
Здравствуйте,
All!
Есть в nginx директива ssl_early_data, но как я
понял из документации,
чтобы ее можно
было безопасно включить - необходимо сделать защиту
от replay attacks.
В документации предлагается делать ее на бекенде,
с помощью заголовка proxy_set_header Early-Data $ssl_early_data;
On 16.04.2021 18:42, Maxim Dounin wrote:
После перезапуска сервера htop показывает:
└─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
├─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
├─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
Здравствуйте,
All!
После перезапуска сервера htop показывает:
└─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
├─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
├─ nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
├─ nginx: master process /
Здравствуйте,
All!
Зачем такие странные настройки по-умолчанию?
proxy_http_version 1.0;
gzip_http_version 1.1;
в результате - если используется цепочка из двох nginx,
nginx-frontend <=> nginx-backend, то компрессия
будет выключена при настройке по-умолчанию.
Что плохого будет например, если
On 08.02.2021 23:24, Oleg A. Mamontov wrote:
"Традиционный" подход - сделать по требуемому условию rewrite, уводящий
обработку запроса в другой location. Обратите внимание - trailing slash
в proxy_pass в данном случае имеет значение.
---
location / {
if ($request_method != 'GET') {
On 28.01.2021 6:08, damir bikmuhametov wrote:
Протокол TLSv1.3 включен, но если в сервере по умолчанию прописать
директиву "ssl_reject_handshake on;" тогда протокол TLSv1.3 перестает
работать для всех серверов.
https://forum.nginx.org/read.php?2,290250 оно?
да.
Вот ссылка на архив списка р
Здравствуйте, All!
nginx/1.19.6 из официального репозитория nginx.org
openssl-1.1.1g-12.el8_3.x86_64 из репозитория CentOS 8.3
Протокол TLSv1.3 включен, но если в сервере по умолчанию прописать
директиву "ssl_reject_handshake on;" тогда протокол TLSv1.3 перестает
работать для всех серверов.
Фра
On 04.01.2021 18:03, Gena Makhomed wrote:
в TLSv1.3 не настраиваются шифры
Кстати, да. Что-то директива ssl_conf_command
http://hg.nginx.org/nginx/rev/3bff3f397c05
не работает таким образом, как ожидалось.
Sorry, уже все нормально работает.
В логах была строчка
[emerg] 118#118: unknown
On 06.07.2020 22:17, Maxim Dounin wrote:
On 29.06.2020 17:07, Maxim Dounin wrote:
Соответственно для включения TLSv1.3 по умолчанию надо решить две
проблемы:
1. Сделать решение, которое бы позволило реализовать ту же
семантику "отазаться общаться, не предъявляя сертификата" в
условиях наличия
Здравствуйте, All!
В документации написано, что значение по-умолчанию
для директивы worker_connections равно 512.
Значение директивы worker_connections равное 512
дает всего лишь 256 одновременных подключений к бекенду.
И там же в документации нарисован пример,
увеличивающий worker_connections
On 17.08.2020 17:58, Maxim Dounin wrote:
HTTP response splitting предоставляет атакующему контроль над
ответом, и XSS - одно из прямых и наиболее очевидных следствий.
И почему nginx не может закодировать "\n" or "\r" перед тем,
как применять $uri для построения проксированого запроса?
Это выг
On 14.08.2020 17:27, Maxim Dounin wrote:
Есть такая конфигурация:
client <=> nginx-frontend <=> nginx-backend <=> php-fpm
Есть задача от SEO'шников/клиентов сделать так, чтобы несколько слешей,
идущих подряд в uri, превращались в один слеш с помощью 301 редиректа,
и чтобы точка в конце домена
Здравствуйте, All!
Есть такая конфигурация:
client <=> nginx-frontend <=> nginx-backend <=> php-fpm
Есть задача от SEO'шников/клиентов сделать так, чтобы несколько слешей,
идущих подряд в uri, превращались в один слеш с помощью 301 редиректа,
и чтобы точка в конце домена также убиралась с помощ
On 10.08.2020 19:33, Slawa Olhovchenkov wrote:
Если не поможет - смотреть debug log'и, там всё должно быть
плюс-минус очевидно.
это продакшен, с дебаг логами боюсь все станет раком (а так бы я прямо
с них и начал бы).
http://nginx.org/ru/docs/ngx_core_module.html#debug_connection
разве не
On 04.08.2020 17:04, Илья Шипицин wrote:
А что мешает просто убрать сервер из конфига и сделать reload?
Ранее усановленные соединения доработают, новые будут
устанавливаться только к бэкендам из новой конфигурации.
пожалуй, что можно и так.
мы так раньше делали, и поскольку мы не контролирова
On 15.07.2020 17:23, akoval wrote:
видимо эта строка return 301 https://$host$request_uri; все портит.
как тогда правильно ее в конце прописать? если не зашло ни на один location,
тогда идем на https?
вот эту строку:
return 301 https://$host$request_uri;
надо писать не в контексте server, а
On 29.06.2020 17:07, Maxim Dounin wrote:
> Соответственно для включения TLSv1.3 по умолчанию надо решить две
> проблемы:
>
> 1. Сделать решение, которое бы позволило реализовать ту же
> семантику "отазаться общаться, не предъявляя сертификата" в
> условиях наличия TLSv1.3.
>
> 2. Придумать решени
Максим, а зачем по-умолчанию сделано proxy_ssl_server_name off; ?
Что-то сломается, если сделать по-умолчанию proxy_ssl_server_name on; ?
Применил на одном из серверов workaround
https://trac.nginx.org/nginx/ticket/195#comment:6
В результате - один из сервисов защиты от DDoS прислал уведомлени
On 25.06.2020 22:27, Maxim Dounin wrote:
А не разрешить ли TLSv1.3 по умолчанию. Сейчас для этого как
минимум один блокер - в TLSv1.3 не настраиваются шифры и в
результате сломаются конфиги с "ssl_ciphers aNULL;", подробнее
тут:
http://mailman.nginx.org/pipermail/nginx/2018-November/057194.htm
Максим, а почему такое значение по-умолчанию у директивы ssl_protocols?
В частности, протокол TLSv1.3 выключен, но вместо него включены
протоколы TLSv1 и TLSv1.1 - сейчас ведь наоборот рекомендуют делать.
Даже RFC вышел соответствующий еще в мае 2015 года,
https://tools.ietf.org/html/rfc7525#se
On 25.06.2020 18:13, Илья Шипицин wrote:
интересно посмотреть, что у вас в /proc//fd , это файлы открытые
мастером
При worker_processes 32:
# cat /proc/909/cmdline
nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
# ls -l /proc/909/fd/
всего там 72 дескриптора,
0 -> /dev/null
On 25.06.2020 17:23, Maxim Dounin wrote:
в этом месте вы думаете, что воркер сам себе проставил такой лимит на
количество файлов.
посмотрите в /proc//limits , действительно ли там значения, которые вы
ожидаете или нет
у нас было, что systemd применял свои лимиты поверх
# cat /proc/205/cmdli
On 25.06.2020 14:48, Илья Шипицин wrote:
/etc/systemd/nspawn/1.nspawn
[Exec]
LimitNOFILE=infinity
/etc/nginx/nginx.conf
worker_rlimit_nofile 262144;
в этом месте вы думаете, что воркер сам себе проставил такой лимит на
количество файлов.
посмотрите в /proc//limits , действительно ли т
Здравствуйте, All!
CentOS 8.2, nginx 1.19.0 из официального репозитория.
Когда запускаю nginx внутри systemd-nspawn контейнера -
в error.log видно большое количество сообщений про ошибку:
[alert] 269#269: sendmsg() failed (109: Too many references: cannot splice)
Подозреваю, что nginx в контей
Здравствуйте, All!
nginx version: nginx/1.17.10 из официального репозитория.
Почему nginx время от времени ни с того ни с сего глючит при релоаде
конфигурации и остается работать со старой конфигурацией
при добавлении нового хоста в конфиг?
Уже в который раз наступаю на эти грабли.
При выполне
Здравствуйте, All!
Интересная статья в блоге Cloudflare:
https://blog.cloudflare.com/keepalives-considered-harmful/
Keepalives considered harmful
--
Best regards,
Gena
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/li
On 29.02.2020 17:34, windos321 wrote:
Перебрал все возможные юниты, network-scripts...
Скорее всего, у Вас там DHCP и скорее всего - Вы не пробовали
https://www.freedesktop.org/software/systemd/man/systemd-networkd-wait-online.service.html
как Вам это рекомендовал сделать Алексей в этом спис
On 10.01.2020 15:04, Maxim Dounin wrote:
Если создатели сайта https://ssl-config.mozilla.org/ ошибаются,
то осознать свою ошибку они смогут наверное только после того,
как им об этом напишет кто-то из разработчиков nginx?
Нет, разработчики nginx тут ни при чём. Тут вопрос исключительно
в том
Результаты 1 - 100 из 403 matches
Mail list logo