From nginx-forum at nginx.us Wed Apr 2 11:09:34 2014 From: nginx-forum at nginx.us (romandilt) Date: Wed, 02 Apr 2014 07:09:34 -0400 Subject: =?UTF-8?B?UmU6INCf0L7QtNC00LXRgNC20LrQsCBSYW5nZSDQsiBzdWJyZXF1ZXN0?= In-Reply-To: References: Message-ID: Решили как-то эту проблему? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246681,248916#msg-248916 From nginx-forum at nginx.us Thu Apr 3 11:00:29 2014 From: nginx-forum at nginx.us (Shold) Date: Thu, 03 Apr 2014 07:00:29 -0400 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <20111107144954.GB84102@nginx.com> References: <20111107144954.GB84102@nginx.com> Message-ID: <4db3aedee24624c96134f16b34bc508b.NginxMailingListRussian@forum.nginx.org> Использую модуль MP4. open_file_cache включен, пытаюсь включить aio, получаю [crit] 17325#0: *506 io_submit("путь до mp4") failed (22: Invalid argument) while sending mp4 to client Пересобрал nginx 1.4.7 с патчем модуля MP4 (описанным выше) - не помогло. Отключение open_file_cache тоже не помогло (( Помогает только отключение aio. Еще одна особенность - жесткие диски у нас собраны в пул zfs. Может тут какое-то слабое звено?... Posted at Nginx Forum: http://forum.nginx.org/read.php?21,216319,248953#msg-248953 From mdounin at mdounin.ru Thu Apr 3 11:47:50 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 3 Apr 2014 15:47:50 +0400 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <4db3aedee24624c96134f16b34bc508b.NginxMailingListRussian@forum.nginx.org> References: <20111107144954.GB84102@nginx.com> <4db3aedee24624c96134f16b34bc508b.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140403114750.GK34696@mdounin.ru> Hello! On Thu, Apr 03, 2014 at 07:00:29AM -0400, Shold wrote: > Использую модуль MP4. open_file_cache включен, пытаюсь включить aio, > получаю > [crit] 17325#0: *506 io_submit("путь до mp4") failed (22: Invalid argument) > while sending mp4 to client > Пересобрал nginx 1.4.7 с патчем модуля MP4 (описанным выше) - не помогло. > Отключение open_file_cache тоже не помогло (( Помогает только отключение > aio. > Еще одна особенность - жесткие диски у нас собраны в пул zfs. Может тут > какое-то слабое звено?... Линукс в сочетании с AIO - это вообще слабое звено, он его не умеет нормально, из-за этого приходится прибегать к множеству ухищрений и извращений. Для zfs, похоже, не умеет вообще: https://github.com/zfsonlinux/zfs/issues/223 -- Maxim Dounin http://nginx.org/ From denis at webmaster.spb.ru Thu Apr 3 12:12:25 2014 From: denis at webmaster.spb.ru (denis) Date: Thu, 03 Apr 2014 16:12:25 +0400 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <20140403114750.GK34696@mdounin.ru> References: <20111107144954.GB84102@nginx.com> <4db3aedee24624c96134f16b34bc508b.NginxMailingListRussian@forum.nginx.org> <20140403114750.GK34696@mdounin.ru> Message-ID: <533D5029.9050803@webmaster.spb.ru> 03.04.2014 15:47, Maxim Dounin пишет: > Линукс в сочетании с AIO - это вообще слабое звено, он его не > умеет нормально, из-за этого приходится прибегать к множеству > ухищрений и извращений. > > Для zfs, похоже, не умеет вообще: > > https://github.com/zfsonlinux/zfs/issues/223 Если нужен zfs, почему не фря/индиана? zfsonlinux пока много подводных камней таит From nginx-forum at nginx.us Thu Apr 3 12:24:06 2014 From: nginx-forum at nginx.us (Shold) Date: Thu, 03 Apr 2014 08:24:06 -0400 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <533D5029.9050803@webmaster.spb.ru> References: <533D5029.9050803@webmaster.spb.ru> Message-ID: <0355e8d48af857d667d1c445440ad5a8.NginxMailingListRussian@forum.nginx.org> denis Wrote: ------------------------------------------------------- > 03.04.2014 15:47, Maxim Dounin пишет: > > Линукс в сочетании с AIO - это вообще слабое звено, он его не > > умеет нормально, из-за этого приходится прибегать к множеству > > ухищрений и извращений. > > > > Для zfs, похоже, не умеет вообще: > > > > https://github.com/zfsonlinux/zfs/issues/223 > Если нужен zfs, почему не фря/индиана? zfsonlinux пока много подводных > > камней таит > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru Вообще, я про линух ничего не говорил, но да - стоит CentOS. ZFS пришел чуть позже, чем была установлена и настроена система. Целью введения ZFS как раз и было ускорение дисковой подсистемы. Про подводные камни согласен, но не думал, что упрусь в aio (( Посоветуйте Soft-RAID, на котором именно CentOS способен развивать космические скорости. Ну и чтобы совместимость с aio была. Это принципиально важно, потому как контент MP4, файлы большие и много (в сумме около 30ТБ). Отдача активная (в пике до 700 параллельных скачиваний). Posted at Nginx Forum: http://forum.nginx.org/read.php?21,216319,248959#msg-248959 From a.vasilishin at kpi.ua Thu Apr 3 12:26:22 2014 From: a.vasilishin at kpi.ua (=?KOI8-R?Q?=E1=CE=C4=D2=C5=CA_=F7=C1=D3=C9=CC=C9=DB=C9=CE?=) Date: Thu, 03 Apr 2014 15:26:22 +0300 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <0355e8d48af857d667d1c445440ad5a8.NginxMailingListRussian@forum.nginx.org> References: <533D5029.9050803@webmaster.spb.ru> <0355e8d48af857d667d1c445440ad5a8.NginxMailingListRussian@forum.nginx.org> Message-ID: <533D536E.4090201@kpi.ua> 03.04.2014 15:24, Shold пишет: > Вообще, я про линух ничего не говорил, но да - стоит CentOS. ZFS пришел чуть > позже, чем была установлена и настроена система. Целью введения ZFS как раз > и было ускорение дисковой подсистемы. Про подводные камни согласен, но не > думал, что упрусь в aio (( > Посоветуйте Soft-RAID, на котором именно CentOS способен развивать > космические скорости. Ну и чтобы совместимость с aio была. Это принципиально > важно, потому как контент MP4, файлы большие и много (в сумме около 30ТБ). > Отдача активная (в пике до 700 параллельных скачиваний). А зачем вообще рейд и как собираетесь уходить от текущей схемы? From denis at webmaster.spb.ru Thu Apr 3 12:40:02 2014 From: denis at webmaster.spb.ru (denis) Date: Thu, 03 Apr 2014 16:40:02 +0400 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <0355e8d48af857d667d1c445440ad5a8.NginxMailingListRussian@forum.nginx.org> References: <533D5029.9050803@webmaster.spb.ru> <0355e8d48af857d667d1c445440ad5a8.NginxMailingListRussian@forum.nginx.org> Message-ID: <533D56A2.2040501@webmaster.spb.ru> 03.04.2014 16:24, Shold пишет: > Вообще, я про линух ничего не говорил, но да - стоит CentOS. ZFS > пришел чуть > позже, чем была установлена и настроена система. Целью введения ZFS как раз > и было ускорение дисковой подсистемы. Про подводные камни согласен, но не > думал, что упрусь в aio (( Сам по себе zfs ничего не ускорит, и более того, при неправильном применении сделает только хуже. Например, когда мало места, производительность просядет раз в 10 by design. Ускорить работу, иногда существенно, может l2arc+ZIL на SSD, но в лине есть flashcache, bcache, btier, а также подобный функционал есть у аппаратных рейдов на LSi, adaptec. Имело бы некоторый смысл при использовании сжатия и дедупликации, но mp4 и так сжаты, а для дедупликации на 30Тб данных надо хотя бы 32 гига оперативы, а лучше 64 и более, иначе можно схватить панику или отвал пула. Ну или кластерную фс и несколько нод, с легким масштабированием, но несколько другой ценой. > Посоветуйте Soft-RAID, на котором именно CentOS способен развивать > космические скорости. dmraid, mdraid ) А вообще "космические скорости" тут смотрится странно. Как рейд сделает скорости? Если вопрос в уровнях -- самый быстрый это 0, чередование, stripe. Он же самый опасный, отвал 1 диска = смерть всех данных. Наиболее оптимальный -- 6 или 60, только не 5 ни в коем случае, уже на 10Тб он слишком опасен. Ну и желательно все-таки 2 ноды и более иметь, на случай любых проблем на одной - оставшиеся вытянут. > Ну и чтобы совместимость с aio была. Это принципиально > важно, потому как контент MP4, файлы большие и много (в сумме около 30ТБ). > Отдача активная (в пике до 700 параллельных скачиваний). 700? Это шутка? Спросите у файловых хостингов, сколько у них параллельно... From a.vasilishin at kpi.ua Thu Apr 3 12:49:41 2014 From: a.vasilishin at kpi.ua (=?KOI8-R?Q?=E1=CE=C4=D2=C5=CA_=F7=C1=D3=C9=CC=C9=DB=C9=CE?=) Date: Thu, 03 Apr 2014 15:49:41 +0300 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <533D56A2.2040501@webmaster.spb.ru> References: <533D5029.9050803@webmaster.spb.ru> <0355e8d48af857d667d1c445440ad5a8.NginxMailingListRussian@forum.nginx.org> <533D56A2.2040501@webmaster.spb.ru> Message-ID: <533D58E5.1040000@kpi.ua> > 700? Это шутка? Спросите у файловых хостингов, сколько у них параллельно... на сервере с 20Гбит/с каналом разок видел 35к, а так 20-30к обычно From nginx-forum at nginx.us Thu Apr 3 15:06:12 2014 From: nginx-forum at nginx.us (Shold) Date: Thu, 03 Apr 2014 11:06:12 -0400 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <533D536E.4090201@kpi.ua> References: <533D536E.4090201@kpi.ua> Message-ID: <55fdcf92990de77d36b5d50c4c1c7961.NginxMailingListRussian@forum.nginx.org> Андрей Василишин Wrote: ------------------------------------------------------- > 03.04.2014 15:24, Shold пишет: > > > Вообще, я про линух ничего не говорил, но да - стоит CentOS. ZFS > пришел чуть > > позже, чем была установлена и настроена система. Целью введения ZFS > как раз > > и было ускорение дисковой подсистемы. Про подводные камни согласен, > но не > > думал, что упрусь в aio (( > > Посоветуйте Soft-RAID, на котором именно CentOS способен развивать > > космические скорости. Ну и чтобы совместимость с aio была. Это > принципиально > > важно, потому как контент MP4, файлы большие и много (в сумме около > 30ТБ). > > Отдача активная (в пике до 700 параллельных скачиваний). > > А зачем вообще рейд и как собираетесь уходить от текущей схемы? > > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru Рэйд реально нужен. Матчасть не знаю, но подозреваю, что нагрузка на отдельный хард в рэйде несколько ниже, чем в режиме рассыпанных хардов. И действительно, на практике увидел снижение нагрузки почти в 2 раза. Но нам этого немного не хватает. aio реально бы спас ситуацию. Уходить от текущей схемы по тому же алгоритму, как и пришли на нее. ZFS настраивался недавно. В общем, эта ветка обсуждения уже ушла от темы. Предлагаю не развивать. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,216319,248975#msg-248975 From nginx-forum at nginx.us Thu Apr 3 15:10:30 2014 From: nginx-forum at nginx.us (Shold) Date: Thu, 03 Apr 2014 11:10:30 -0400 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <533D56A2.2040501@webmaster.spb.ru> References: <533D56A2.2040501@webmaster.spb.ru> Message-ID: <69617451e3f2b4558fc2db2457a8a31b.NginxMailingListRussian@forum.nginx.org> Был mdraid... Когда-то давно, еще до меня. Падения были постоянные. Может его неправильно "приготовили", но факт. Места свободного пока достаточно (процентов 35-40), оперативы 32 и есть, но дедупликацию включать все равно опасаюсь. В общем, спасибо всем! Тема уже не nginx-а. Буду копать дальше. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,216319,248976#msg-248976 From a.vasilishin at kpi.ua Thu Apr 3 18:48:25 2014 From: a.vasilishin at kpi.ua (=?KOI8-R?Q?=E1=CE=C4=D2=C5=CA_=F7=C1=D3=C9=CC=C9=DB=C9=CE?=) Date: Thu, 03 Apr 2014 21:48:25 +0300 Subject: =?UTF-8?B?UmU6INCc0L7QtNGD0LvRjCBtcDQ6IDUwMCBJbnRlcm5hbCBTZXJ2ZXIsIHByZWFk?= =?UTF-8?B?KCkgZmFpbGVkICgyMjogSW52YWxpZCBhcmd1bWVudCks?= In-Reply-To: <55fdcf92990de77d36b5d50c4c1c7961.NginxMailingListRussian@forum.nginx.org> References: <533D536E.4090201@kpi.ua> <55fdcf92990de77d36b5d50c4c1c7961.NginxMailingListRussian@forum.nginx.org> Message-ID: <533DACF9.1060104@kpi.ua> > Рэйд реально нужен. Матчасть не знаю, но подозреваю, что нагрузка на > отдельный хард в рэйде несколько ниже, чем в режиме рассыпанных хардов. И > действительно, на практике увидел снижение нагрузки почти в 2 раза. Но нам > этого немного не хватает. aio реально бы спас ситуацию. Уходить от текущей > схемы по тому же алгоритму, как и пришли на нее. ZFS настраивался недавно. > В общем, эта ветка обсуждения уже ушла от темы. Предлагаю не развивать. Как-то плохо Вы подозреваете и непонятно как это увидели, разве что на тестах ab Тут уже кстати один раз был холивар по поводу рейдов, можете окунуться в историю http://forum.nginx.org/read.php?21,68014,79023#msg-79023 From nginx-forum at nginx.us Fri Apr 4 10:54:27 2014 From: nginx-forum at nginx.us (Alfa7) Date: Fri, 04 Apr 2014 06:54:27 -0400 Subject: =?UTF-8?B?0J3QtSDQvtGC0LTQsNGO0YLRgdGPINCx0L7Qu9GM0YjQuNC1INGB0YLRgNCw0L0=?= =?UTF-8?B?0LjRhtGL?= Message-ID: <2a09cd337a1d766718c327ae1b4acc40.NginxMailingListRussian@forum.nginx.org> Доброго всем времени суток! Нашел очень своеобразный глюк: nginx (1.4.5, FreeBSD 8.4) не отдает большие (>200кб) страницы/файлы (неважно - статика или сгенерировано fastcgi). Файл отдается лишь частично, т.е. конец просто не отправляется. Пробовал с различними конфигами, отключал max_ranges - никакого эффекта, хотя рядом такие же сервера с такими же конфигами работали отлично. Выяслилось вот что: если собрать nginx из исходников - все работает отлично. Если ставить из портов - возникает эта проблема. Пока не нашел, почему она возникает (не исключено, что какой-то из патчей в портах дает такую картину), но проблема однозначно воспроизводится - проверял на нескольких машинах. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,248989,248989#msg-248989 From nginx-forum at nginx.us Fri Apr 4 10:58:52 2014 From: nginx-forum at nginx.us (Alfa7) Date: Fri, 04 Apr 2014 06:58:52 -0400 Subject: =?UTF-8?B?UmU6INC/0YDQvtCx0LvQtdC80LAg0LfQsNCz0YDRg9C30LrQuCDQutC+0L3RgtC1?= =?UTF-8?B?0L3RgtCw?= In-Reply-To: <31cce16764b81698dcc9d7dc1a9c73b5.NginxMailingListRussian@forum.nginx.org> References: <97626a529f0c28fe15d2fe5da20484d5.NginxMailingListRussian@forum.nginx.org> <31cce16764b81698dcc9d7dc1a9c73b5.NginxMailingListRussian@forum.nginx.org> Message-ID: Просто для проверки моих наблюдений: nginx поставлен из портов? Система FreeBSD? Если да - попробуйте поставить nginx из исходников (у меня были похожие проблемы: http://forum.nginx.org/read.php?21,248989) Posted at Nginx Forum: http://forum.nginx.org/read.php?21,248424,248990#msg-248990 From mdounin at mdounin.ru Fri Apr 4 11:03:52 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Fri, 4 Apr 2014 15:03:52 +0400 Subject: =?UTF-8?B?UmU6INCd0LUg0L7RgtC00LDRjtGC0YHRjyDQsdC+0LvRjNGI0LjQtSDRgdGC0YA=?= =?UTF-8?B?0LDQvdC40YbRiw==?= In-Reply-To: <2a09cd337a1d766718c327ae1b4acc40.NginxMailingListRussian@forum.nginx.org> References: <2a09cd337a1d766718c327ae1b4acc40.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140404110351.GS34696@mdounin.ru> Hello! On Fri, Apr 04, 2014 at 06:54:27AM -0400, Alfa7 wrote: > Доброго всем времени суток! > > Нашел очень своеобразный глюк: nginx (1.4.5, FreeBSD 8.4) не отдает большие > (>200кб) страницы/файлы (неважно - статика или сгенерировано fastcgi). Файл > отдается лишь частично, т.е. конец просто не отправляется. Пробовал с > различними конфигами, отключал max_ranges - никакого эффекта, хотя рядом > такие же сервера с такими же конфигами работали отлично. Выяслилось вот что: > если собрать nginx из исходников - все работает отлично. Если ставить из > портов - возникает эта проблема. Пока не нашел, почему она возникает (не > исключено, что какой-то из патчей в портах дает такую картину), но проблема > однозначно воспроизводится - проверял на нескольких машинах. По-умолчанию в портах никаких патчей и сторонних модулей нет. Если вы что-то наконфигурили - имеет смысл это расконфигурить (make rmconfig, см. man ports) и попробовать ещё раз. Вообще то, что вы описываете, больше всего похоже на неправильные права на proxy_temp_path/fastcgi_temp_path, но проблемы со статикой в картину не вписываются. Впрочем, в любом случае рекомендуется заглянуть в error log и посмотреть, что написано там. -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Fri Apr 4 11:26:14 2014 From: nginx-forum at nginx.us (Alfa7) Date: Fri, 04 Apr 2014 07:26:14 -0400 Subject: =?UTF-8?B?UmU6INCd0LUg0L7RgtC00LDRjtGC0YHRjyDQsdC+0LvRjNGI0LjQtSDRgdGC0YA=?= =?UTF-8?B?0LDQvdC40YbRiw==?= In-Reply-To: <20140404110351.GS34696@mdounin.ru> References: <20140404110351.GS34696@mdounin.ru> Message-ID: В логи смотрел в первую очередь - ничего криминального. Порты - на чистой системе, ничего кроме обновления через portsnap не накручивали. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,248989,248992#msg-248992 From nginx-forum at nginx.us Fri Apr 4 11:33:35 2014 From: nginx-forum at nginx.us (Alfa7) Date: Fri, 04 Apr 2014 07:33:35 -0400 Subject: =?UTF-8?B?UmU6INCd0LUg0L7RgtC00LDRjtGC0YHRjyDQsdC+0LvRjNGI0LjQtSDRgdGC0YA=?= =?UTF-8?B?0LDQvdC40YbRiw==?= In-Reply-To: <20140404110351.GS34696@mdounin.ru> References: <20140404110351.GS34696@mdounin.ru> Message-ID: <523cfea220c6395a4bedf94e7d191051.NginxMailingListRussian@forum.nginx.org> Кстати, по поводу прав на proxy_temp_path - возможно, проверю. Если статику nginx хранит не у себя, а тоже забирает с бэкенда - использует ли эта директория? Хотя в минимальной конфигурации, с которой я проверял - отключал/комментировал вообще все, что только возможно Posted at Nginx Forum: http://forum.nginx.org/read.php?21,248989,248993#msg-248993 From mdounin at mdounin.ru Fri Apr 4 12:41:33 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Fri, 4 Apr 2014 16:41:33 +0400 Subject: =?UTF-8?B?UmU6INCd0LUg0L7RgtC00LDRjtGC0YHRjyDQsdC+0LvRjNGI0LjQtSDRgdGC0YA=?= =?UTF-8?B?0LDQvdC40YbRiw==?= In-Reply-To: <523cfea220c6395a4bedf94e7d191051.NginxMailingListRussian@forum.nginx.org> References: <20140404110351.GS34696@mdounin.ru> <523cfea220c6395a4bedf94e7d191051.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140404124133.GT34696@mdounin.ru> Hello! On Fri, Apr 04, 2014 at 07:33:35AM -0400, Alfa7 wrote: > Кстати, по поводу прав на proxy_temp_path - возможно, проверю. Если статику > nginx хранит не у себя, а тоже забирает с бэкенда - использует ли эта > директория? Хотя в минимальной конфигурации, с которой я проверял - > отключал/комментировал вообще все, что только возможно Если статика - не статика, а проксирование на бекенд, то, естественно, proxy_temp_path использоваться будет. -- Maxim Dounin http://nginx.org/ From denis at webmaster.spb.ru Fri Apr 4 12:48:24 2014 From: denis at webmaster.spb.ru (denis) Date: Fri, 04 Apr 2014 16:48:24 +0400 Subject: =?UTF-8?B?UmU6INCd0LUg0L7RgtC00LDRjtGC0YHRjyDQsdC+0LvRjNGI0LjQtSDRgdGC0YA=?= =?UTF-8?B?0LDQvdC40YbRiw==?= In-Reply-To: <523cfea220c6395a4bedf94e7d191051.NginxMailingListRussian@forum.nginx.org> References: <20140404110351.GS34696@mdounin.ru> <523cfea220c6395a4bedf94e7d191051.NginxMailingListRussian@forum.nginx.org> Message-ID: <533EAA18.1060809@webmaster.spb.ru> 04.04.2014 15:33, Alfa7 пишет: > Кстати, по поводу прав на proxy_temp_path - возможно, проверю. Если статику > nginx хранит не у себя, а тоже забирает с бэкенда - использует ли эта > директория? Хотя в минимальной конфигурации, с которой я проверял - > отключал/комментировал вообще все, что только возможно > отключив "всё", proxy_temp_path никуда не отключается, просто берется из того что прописано в коде. nginx -V нужен, когда работает и когда нет. Хотя тот nginx что в портах работает порой странно - я тоже замечал, потом напишу вопрос (например, прописали listen на конкретный ип вместо :80, на котором он и так отвечал - стало отдаваться по конфигу другого сайта.. и прочий бред) From nginx-forum at nginx.us Fri Apr 4 17:06:10 2014 From: nginx-forum at nginx.us (Alfa7) Date: Fri, 04 Apr 2014 13:06:10 -0400 Subject: =?UTF-8?B?UmU6INCd0LUg0L7RgtC00LDRjtGC0YHRjyDQsdC+0LvRjNGI0LjQtSDRgdGC0YA=?= =?UTF-8?B?0LDQvdC40YbRiw==?= In-Reply-To: <533EAA18.1060809@webmaster.spb.ru> References: <533EAA18.1060809@webmaster.spb.ru> Message-ID: Самосборный: nginx version: nginx/1.4.4 built by gcc 4.2.1 20070831 patched [FreeBSD] TLS SNI support enabled configure arguments: --with-http_ssl_module --sbin-path=/usr/local/sbin/nginx --conf-path=/usr/local/etc/nginx/nginx.conf --pid-path=/var/run/nginx.pid Из портов: nginx version: nginx/1.4.4 configure arguments: --prefix=/usr/local/etc/nginx --with-cc-opt='-I /usr/local/include' --with-ld-opt='-L /usr/local/lib' --conf-path=/usr/local/etc/nginx/nginx.conf --sbin-path=/usr/local/sbin/nginx --pid-path=/var/run/nginx.pid --error-log-path=/var/log/nginx-error.log --user=www --group=www --http-client-body-temp-path=/var/tmp/nginx/client_body_temp --http-fastcgi-temp-path=/var/tmp/nginx/fastcgi_temp --http-proxy-temp-path=/var/tmp/nginx/proxy_temp --http-scgi-temp-path=/var/tmp/nginx/scgi_temp --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi_temp --http-log-path=/var/log/nginx-access.log --with-http_stub_status_module --with-pcre Posted at Nginx Forum: http://forum.nginx.org/read.php?21,248989,249002#msg-249002 From nginx-forum at nginx.us Sat Apr 5 12:10:25 2014 From: nginx-forum at nginx.us (justcyber) Date: Sat, 05 Apr 2014 08:10:25 -0400 Subject: =?UTF-8?B?0KHRgtGA0LDQvdC90L7QtSDQv9C+0LLQtdC00LXQvdC40LUgcHJveHkgY2FjaGU=?= Message-ID: <78d9fed8d1b7dbd9966290320c30bdfa.NginxMailingListRussian@forum.nginx.org> Имеется конструкция для кеширования всего сайта: proxy_cache_path /var/cache/nginx/cache levels=2:2 keys_zone=memproxy:10m max_size=3072m inactive=3h; proxy_temp_path /var/cache/nginx/proxy; proxy_cache_key "$scheme://$host$request_uri"; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_cache_valid 200 301 302 304 1m; proxy_cache_valid 404 502 503 1m; proxy_cache_methods GET HEAD POST; client_max_body_size 255M; location / { limit_conn perip 80; limit_req zone=hostreqlimit burst=1100 nodelay; default_type text/html; proxy_pass http://127.0.0.1:81; proxy_redirect off; proxy_set_header Host $http_host; proxy_buffers 256 4k; proxy_max_temp_file_size 0k; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header realip $remote_addr; proxy_ignore_headers "Cache-Control" "Expires"; proxy_cache memproxy; add_header X-Cache-Status $upstream_cache_status; } Однако каждую минуту на бэкенд (который proxy_pass http://127.0.0.1:81;) поступает вместо одного запроса для главной страницы, штук 50-300. В чем может быть проблема? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249033,249033#msg-249033 From i.ivantsov at ngenix.net Sat Apr 5 18:28:05 2014 From: i.ivantsov at ngenix.net (Ilya Ivantsov) Date: Sat, 05 Apr 2014 22:28:05 +0400 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0L/QvtCy0LXQtNC10L3QuNC1IHByb3h5IGNh?= =?UTF-8?B?Y2hl?= In-Reply-To: <78d9fed8d1b7dbd9966290320c30bdfa.NginxMailingListRussian@forum.nginx.org> References: <78d9fed8d1b7dbd9966290320c30bdfa.NginxMailingListRussian@forum.nginx.org> Message-ID: <53404B35.5010607@ngenix.net> Добавьте "proxy_cache_lock on;". http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_cache_lock 05/04/14 16:10 , justcyber пишет: > Имеется конструкция для кеширования всего сайта: > > proxy_cache_path /var/cache/nginx/cache levels=2:2 > keys_zone=memproxy:10m max_size=3072m inactive=3h; > proxy_temp_path /var/cache/nginx/proxy; > proxy_cache_key "$scheme://$host$request_uri"; > proxy_redirect off; > proxy_set_header Host $host; > proxy_set_header X-Real-IP $remote_addr; > proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; > proxy_cache_valid 200 301 302 304 1m; > proxy_cache_valid 404 502 503 1m; > proxy_cache_methods GET HEAD POST; > client_max_body_size 255M; > > > location / { > limit_conn perip 80; > limit_req zone=hostreqlimit burst=1100 nodelay; > default_type text/html; > proxy_pass http://127.0.0.1:81; > proxy_redirect off; > proxy_set_header Host $http_host; > proxy_buffers 256 4k; > proxy_max_temp_file_size 0k; > proxy_set_header Host $host; > proxy_set_header X-Real-IP $remote_addr; > proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; > proxy_set_header realip $remote_addr; > proxy_ignore_headers "Cache-Control" "Expires"; > proxy_cache memproxy; > add_header X-Cache-Status $upstream_cache_status; > } > > > Однако каждую минуту на бэкенд (который proxy_pass http://127.0.0.1:81;) > поступает вместо одного запроса для главной страницы, штук 50-300. В чем > может быть проблема? > > Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249033,249033#msg-249033 > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- C уважением, Илья Иванцов m. +7 (495) 766-1562 t. +7 (495) 737-5743 (ext. 711) e. i.ivantsov at ngenix.net *NGENIX \\ Российский оператор CDN* support at ngenix.net | www.ngenix.net Follow @ twitter |facebook |Linkedin -------------- next part -------------- An HTML attachment was scrubbed... URL: From mdounin at mdounin.ru Sat Apr 5 22:11:19 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Sun, 6 Apr 2014 02:11:19 +0400 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0L/QvtCy0LXQtNC10L3QuNC1IHByb3h5IGNh?= =?UTF-8?B?Y2hl?= In-Reply-To: <53404B35.5010607@ngenix.net> References: <78d9fed8d1b7dbd9966290320c30bdfa.NginxMailingListRussian@forum.nginx.org> <53404B35.5010607@ngenix.net> Message-ID: <20140405221118.GW34696@mdounin.ru> Hello! On Sat, Apr 05, 2014 at 10:28:05PM +0400, Ilya Ivantsov wrote: > Добавьте "proxy_cache_lock on;". > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_cache_lock Директива proxy_cache_lock работает при добавлении в кеш новых элементов. Тут же речь идёт об обновлениях: > >Однако каждую минуту на бэкенд (который proxy_pass http://127.0.0.1:81;) > >поступает вместо одного запроса для главной страницы, штук 50-300. В чем > >может быть проблема? Правильное решение - "proxy_cache_use_stale updating", см. тут: http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_cache_use_stale -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Mon Apr 7 07:28:12 2014 From: nginx-forum at nginx.us (saVIor4815162342) Date: Mon, 07 Apr 2014 03:28:12 -0400 Subject: =?UTF-8?B?0J/RgNC+0LHQu9C10LzRiyDRgSDQsNCy0YLQvtGA0LjQt9Cw0YbQuNC10Lk=?= Message-ID: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> День добрый! Ситуация следующая: поднял прокси на nginx на сервере с белым ip, за ним стоит видеорегистратор (внутренний адрес 10.100.0.2:88). При авторизации на регистраторе выдает ошибку "Проблемы с сетью". Конфиг элементарный: location /test/ { proxy_pass http://10.100.0.2:88/; } Скрин ошибки: http://www.fayloobmennik.net/3710258 В чем может быть проблема? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249054,249054#msg-249054 From laa at laa.zp.ua Mon Apr 7 07:54:35 2014 From: laa at laa.zp.ua (Lystopad Aleksandr) Date: Mon, 7 Apr 2014 11:54:35 +0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> References: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140407075435.GJ3548@laa.zp.ua> Hello, saVIor4815162342! On Mon, Apr 07, 2014 at 03:28:12AM -0400 nginx-forum at nginx.us wrote about "Проблемы с авторизацией": > День добрый! > Ситуация следующая: поднял прокси на nginx на сервере с белым ip, за ним > стоит видеорегистратор (внутренний адрес 10.100.0.2:88). При авторизации на > регистраторе выдает ошибку "Проблемы с сетью". Конфиг элементарный: > > location /test/ { > proxy_pass http://10.100.0.2:88/; > } > > Скрин ошибки: http://www.fayloobmennik.net/3710258 > В чем может быть проблема? Возможно, нужно еще какие-то порты пробрасывать. Я для регистраторов rvi пробрасываю 80 и 37777 порты при помощи НАТа. -- Lystopad Aleksandr From sytar.alex at gmail.com Mon Apr 7 08:08:42 2014 From: sytar.alex at gmail.com (Aleksandr Sytar) Date: Mon, 7 Apr 2014 12:08:42 +0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <20140407075435.GJ3548@laa.zp.ua> References: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> <20140407075435.GJ3548@laa.zp.ua> Message-ID: 7 апреля 2014 г., 11:54 пользователь Lystopad Aleksandr написал: > Hello, saVIor4815162342! > > On Mon, Apr 07, 2014 at 03:28:12AM -0400 > nginx-forum at nginx.us wrote about "Проблемы с авторизацией": >> День добрый! >> Ситуация следующая: поднял прокси на nginx на сервере с белым ip, за ним >> стоит видеорегистратор (внутренний адрес 10.100.0.2:88). При авторизации на >> регистраторе выдает ошибку "Проблемы с сетью". Конфиг элементарный: >> >> location /test/ { >> proxy_pass http://10.100.0.2:88/; >> } >> >> Скрин ошибки: http://www.fayloobmennik.net/3710258 >> В чем может быть проблема? > > Возможно, нужно еще какие-то порты пробрасывать. > Я для регистраторов rvi пробрасываю 80 и 37777 порты при помощи НАТа. > Зачем для проксирования вообще что-то пробрасывать? From nginx-forum at nginx.us Mon Apr 7 12:15:01 2014 From: nginx-forum at nginx.us (saVIor4815162342) Date: Mon, 07 Apr 2014 08:15:01 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> References: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> Message-ID: <99ba9b09c5afdbe7c01dc4b213442230.NginxMailingListRussian@forum.nginx.org> На 88 порту авторизация по какой-то причине так и не проходит, заменил на 80. Конфиг тоже заменил: server { listen 80; server_name 185.44.хх.хх; location /test { proxy_pass http://10.100.0.2/; } } проблема сохраняется, но если: server { listen 80; server_name 185.44.хх.хх; location /test { proxy_pass http://10.100.0.2:80/; } } прокси через себя не пропускает, а перекидывает сразу на внутренний (соответственно, и авторизует без проблем)... Почему редиректит, так и не понял... Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249054,249061#msg-249061 From stalker at altlinux.ru Tue Apr 8 09:24:48 2014 From: stalker at altlinux.ru (Anton Gorlov) Date: Tue, 08 Apr 2014 13:24:48 +0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <99ba9b09c5afdbe7c01dc4b213442230.NginxMailingListRussian@forum.nginx.org> References: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> <99ba9b09c5afdbe7c01dc4b213442230.NginxMailingListRussian@forum.nginx.org> Message-ID: <5343C060.9050007@altlinux.ru> proxy_redirect off; ? 07.04.2014 16:15, saVIor4815162342 пишет: > } > прокси через себя не пропускает, а перекидывает сразу на внутренний > (соответственно, и авторизует без проблем)... Почему редиректит, так и не > понял... -------------- next part -------------- An HTML attachment was scrubbed... URL: From nginx-forum at nginx.us Tue Apr 8 10:57:38 2014 From: nginx-forum at nginx.us (saVIor4815162342) Date: Tue, 08 Apr 2014 06:57:38 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <5343C060.9050007@altlinux.ru> References: <5343C060.9050007@altlinux.ru> Message-ID: Пробовал, proxy_redirect off не помогает... Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249054,249103#msg-249103 From mdounin at mdounin.ru Tue Apr 8 14:34:18 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Tue, 8 Apr 2014 18:34:18 +0400 Subject: nginx-1.5.13 Message-ID: <20140408143418.GE34696@mdounin.ru> Изменения в nginx 1.5.13 08.04.2014 *) Изменение: улучшена обработка хэш-таблиц; в директивах variables_hash_max_size и types_hash_bucket_size значения по умолчанию изменены на 1024 и 64 соответственно. *) Добавление: модуль ngx_http_mp4_module теперь понимает аргумент end. *) Добавление: поддержка byte ranges модулем ngx_http_mp4_module и при сохранении ответов в кэш. *) Исправление: теперь nginx не пишет в лог сообщения "ngx_slab_alloc() failed: no memory" при использовании разделяемой памяти в ssl_session_cache и в модуле ngx_http_limit_req_module. *) Исправление: директива underscores_in_headers не разрешала подчёркивание в первом символе заголовка. Спасибо Piotr Sikora. *) Исправление: cache manager мог нагружать процессор при выходе в nginx/Windows. *) Исправление: при использовании ssl_session_cache с параметром shared рабочий процесс nginx/Windows завершался аварийно. *) Исправление: в модуле ngx_http_spdy_module. -- Maxim Dounin http://nginx.org/en/donation.html From nginx-forum at nginx.us Tue Apr 8 17:20:27 2014 From: nginx-forum at nginx.us (john2do) Date: Tue, 08 Apr 2014 13:20:27 -0400 Subject: =?UTF-8?B?UmU6INCg0LDRgdC/0YDQtdC00LXQu9GR0L3QvdC+0LUg0YXRgNCw0L3QtdC90Lg=?= =?UTF-8?B?0LUg0YTQsNC50LvQvtCyIFtPRkZUT1BJQ10=?= In-Reply-To: <6610675732.20140216233310@softsearch.ru> References: <6610675732.20140216233310@softsearch.ru> Message-ID: изучал вопрос плотно. долго. ничего не было обнаружено для 50кк+ файлов. изменяемость 1к файла в минуту. бэкапить анриал. халявные не позволяли нормально предохранятся от сбоев или отвалов линков. экзотика типа мускулов и прочих глустеров - не вкатила по той же причине. коммерсы выкатывали какието неадекватные ценники под наши хотелки (асинк, восстановление в случае) написали своё. если вконтактик пишет на два диска на одном сервере. то у нас пишется асинково на два+ сервера в геонезависимых местах. да, теряли 4 диска одновременно в одном сервере) уходили с нфс-а. сейчас - заливается на фронт, потом разливается на нужное количество реплик, исходник с фронта удаляется. там же на фронте реализованы всякие ватермарки-ресайзы-кропы-куты-флипы через энжик) можем запилить эдж-кэши на основе днс-а. не проблема. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,247621,249123#msg-249123 From fry.kun at gmail.com Tue Apr 8 17:33:03 2014 From: fry.kun at gmail.com (Konstantin Svist) Date: Tue, 08 Apr 2014 10:33:03 -0700 Subject: nginx-1.5.13 In-Reply-To: <20140408143418.GE34696@mdounin.ru> References: <20140408143418.GE34696@mdounin.ru> Message-ID: <534432CF.80505@gmail.com> On 04/08/2014 07:34 AM, Maxim Dounin wrote: > Изменения в nginx 1.5.13 08.04.2014 > > *) Изменение: улучшена обработка хэш-таблиц; в директивах > variables_hash_max_size и types_hash_bucket_size значения по > умолчанию изменены на 1024 и 64 соответственно. > > *) Добавление: модуль ngx_http_mp4_module теперь понимает аргумент end. > > *) Добавление: поддержка byte ranges модулем ngx_http_mp4_module и при > сохранении ответов в кэш. > > *) Исправление: теперь nginx не пишет в лог сообщения "ngx_slab_alloc() > failed: no memory" при использовании разделяемой памяти в > ssl_session_cache и в модуле ngx_http_limit_req_module. > > *) Исправление: директива underscores_in_headers не разрешала > подчёркивание в первом символе заголовка. > Спасибо Piotr Sikora. > > *) Исправление: cache manager мог нагружать процессор при выходе в > nginx/Windows. > > *) Исправление: при использовании ssl_session_cache с параметром shared > рабочий процесс nginx/Windows завершался аварийно. > > *) Исправление: в модуле ngx_http_spdy_module. А для Heartbleed проблемы будет патч? From onokonem at gmail.com Tue Apr 8 17:36:31 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Tue, 8 Apr 2014 21:36:31 +0400 Subject: nginx-1.5.13 In-Reply-To: <534432CF.80505@gmail.com> References: <20140408143418.GE34696@mdounin.ru> <534432CF.80505@gmail.com> Message-ID: > А для Heartbleed проблемы будет патч? для nginx стандартной сборки он не нужен - достаточно проапдейтить openssl и перезапустить nginx. а если увас статически слинкованный nginx - тогда патча не будет тем более. From vbart at nginx.com Tue Apr 8 17:36:47 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Tue, 08 Apr 2014 21:36:47 +0400 Subject: nginx-1.5.13 In-Reply-To: <534432CF.80505@gmail.com> References: <20140408143418.GE34696@mdounin.ru> <534432CF.80505@gmail.com> Message-ID: <1716974.Hi6PaJBv42@vbart-laptop> On Tuesday 08 April 2014 10:33:03 Konstantin Svist wrote: [..] > > А для Heartbleed проблемы будет патч? > Обновите OpenSSL. Подробности: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/ -- Валентин Бартенев From nginx-forum at nginx.us Wed Apr 9 02:28:21 2014 From: nginx-forum at nginx.us (zemtsov_nick) Date: Tue, 08 Apr 2014 22:28:21 -0400 Subject: =?UTF-8?B?UmU6INC/0YDQvtCx0LvQtdC80LAg0LfQsNCz0YDRg9C30LrQuCDQutC+0L3RgtC1?= =?UTF-8?B?0L3RgtCw?= In-Reply-To: References: <97626a529f0c28fe15d2fe5da20484d5.NginxMailingListRussian@forum.nginx.org> <31cce16764b81698dcc9d7dc1a9c73b5.NginxMailingListRussian@forum.nginx.org> Message-ID: система FreeBSD, честно не знаю как поставлен nginx, попробую переставить из исходников. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,248424,249136#msg-249136 From nginx-forum at nginx.us Wed Apr 9 03:24:28 2014 From: nginx-forum at nginx.us (XJIOP) Date: Tue, 08 Apr 2014 23:24:28 -0400 Subject: =?UTF-8?Q?Re=3A_Bug_=E2=80=93_304_status_-_Cache-Control?= In-Reply-To: <52CD7E8E.4070607@csdoc.com> References: <52CD7E8E.4070607@csdoc.com> Message-ID: у меня тоже иногда стала вылезать не пустая страница а страница с заголовком причем два дублирующихся заголовка TTP/1.1 304 Not Modified Server: nginx Date: Wed, 09 Apr 2014 03:06:18 GMT Last-Modified: Sun, 25 Aug 2013 18:29:35 GMT Connection: keep-alive Keep-Alive: timeout=15 ETag: "521a4d0f-d2" Expires: Fri, 09 May 2014 03:06:18 GMT Cache-Control: max-age=2592000 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block; HTTP/1.1 304 Not Modified Server: nginx Date: Wed, 09 Apr 2014 03:06:18 GMT Last-Modified: Tue, 24 Apr 2012 14:13:46 GMT Connection: keep-alive Keep-Alive: timeout=15 ETag: "4f96b51a-59d" Expires: Fri, 09 May 2014 03:06:18 GMT Cache-Control: max-age=2592000 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block; на серваке стоит nginx-1.4.6 + php5-fpm как исправить этот баг? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,245951,249137#msg-249137 From pl-xek at yandex.ru Wed Apr 9 05:28:47 2014 From: pl-xek at yandex.ru (Xek PL) Date: Wed, 09 Apr 2014 09:28:47 +0400 Subject: nginx-1.5.13 In-Reply-To: <20140408143418.GE34696@mdounin.ru> References: <20140408143418.GE34696@mdounin.ru> Message-ID: <746181397021327@web24j.yandex.ru> Привет! >     *) Добавление: поддержка byte ranges модулем ngx_http_mp4_module и при >        сохранении ответов в кэш. Не очень понятно, что именно здесь изменилось? Особенно про кэш. From vlad.shabanov at gmail.com Wed Apr 9 09:41:06 2014 From: vlad.shabanov at gmail.com (Vladislav Shabanov) Date: Wed, 9 Apr 2014 13:41:06 +0400 Subject: =?UTF-8?B?0LLQvtC/0YDQvtGBINC/0YDQviBoZWFydGJsZWVk?= Message-ID: Добрый день! В чём суть уязвимости и как исправлять все, думаю, уже в курсе. А вот вопрос, который после исправления было бы интересно поизучать: В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? Вариант ?включить уровень логов DEBUG и в нём утонуть? не нравится. У кого какие мысли? С уважением, Влад From mdounin at mdounin.ru Wed Apr 9 11:11:23 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 9 Apr 2014 15:11:23 +0400 Subject: =?UTF-8?Q?Re=3A_Bug_=E2=80=93_304_status_-_Cache-Control?= In-Reply-To: References: <52CD7E8E.4070607@csdoc.com> Message-ID: <20140409111123.GI34696@mdounin.ru> Hello! On Tue, Apr 08, 2014 at 11:24:28PM -0400, XJIOP wrote: > у меня тоже иногда стала вылезать не пустая страница а страница с заголовком > причем два дублирующихся заголовка > > TTP/1.1 304 Not Modified > Server: nginx > Date: Wed, 09 Apr 2014 03:06:18 GMT > Last-Modified: Sun, 25 Aug 2013 18:29:35 GMT > Connection: keep-alive > Keep-Alive: timeout=15 > ETag: "521a4d0f-d2" > Expires: Fri, 09 May 2014 03:06:18 GMT > Cache-Control: max-age=2592000 > X-Frame-Options: SAMEORIGIN > X-Content-Type-Options: nosniff > X-XSS-Protection: 1; mode=block; > > HTTP/1.1 304 Not Modified > Server: nginx > Date: Wed, 09 Apr 2014 03:06:18 GMT > Last-Modified: Tue, 24 Apr 2012 14:13:46 GMT > Connection: keep-alive > Keep-Alive: timeout=15 > ETag: "4f96b51a-59d" > Expires: Fri, 09 May 2014 03:06:18 GMT > Cache-Control: max-age=2592000 > X-Frame-Options: SAMEORIGIN > X-Content-Type-Options: nosniff > X-XSS-Protection: 1; mode=block; > > на серваке стоит nginx-1.4.6 + php5-fpm > > как исправить этот баг? http://wiki.nginx.org/Debugging -- Maxim Dounin http://nginx.org/ From mdounin at mdounin.ru Wed Apr 9 11:24:12 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 9 Apr 2014 15:24:12 +0400 Subject: nginx-1.5.13 In-Reply-To: <746181397021327@web24j.yandex.ru> References: <20140408143418.GE34696@mdounin.ru> <746181397021327@web24j.yandex.ru> Message-ID: <20140409112412.GK34696@mdounin.ru> Hello! On Wed, Apr 09, 2014 at 09:28:47AM +0400, Xek PL wrote: > Привет! > > >     *) Добавление: поддержка byte ranges модулем ngx_http_mp4_module и при > >        сохранении ответов в кэш. > > Не очень понятно, что именно здесь изменилось? > Особенно про кэш. Коммит тут: http://hg.nginx.org/nginx/rev/345e4fd4bb64 Про историю вопроса можно почитать, например, тут: http://mailman.nginx.org/pipermail/nginx/2012-April/033517.html -- Maxim Dounin http://nginx.org/ From kostenl at gmail.com Wed Apr 9 11:37:07 2014 From: kostenl at gmail.com (=?koi8-r?B?7MHQz97Lyc4g68/O09TBztTJzg==?=) Date: Wed, 9 Apr 2014 17:37:07 +0600 Subject: Dynamically configured mass virtual hosting Message-ID: <00ed01cf53e8$09f47ed0$1ddd7c70$@gmail.com> Добрый день. Для части своих проектов используем связку nginx + apache с использованием в apache mod_vhost_alias. Это удобно для доступа к серверам с именем типа example.*.domain.ru где под звёздочкой подставляется имя проекта . Тогда добавление нового проекта не требует правки конфига веб-сервисов. При этом конфигурация выглядит примерно следующим образом: На nginx проксирование с кэшированием: server { server_name ~^example\.[^.]*.domain.com; location ~* \.(bmp|ico|jpg|png|jpeg|gif|css|js|mp3|flv|swf|exe|wmv|zip|pdf|doc|rar|ppt|x ls|MP3|JPG|avi|woff|bin|img)$ { proxy_cache zone; proxy_pass http://nodes_ example; include include/proxy.conf; expires 1d; } location / { proxy_pass http://nodes_ example; include include/proxy.conf; } } В apache2 включен модуль vhost_alias и конфиг выглядит следующим образом: ServerName example.domain.ru ServerAlias example.*.domain.ru VirtualDocumentRoot /var/www/projects/%2/data Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny allow from all Где в переменную %2 подставляется соответсувующая часть fqdn сервера. Более подробно http://httpd.apache.org/docs/2.2/ru/vhosts/mass.html Таким образом, добавив в директорию /var/www/projects/ папку с новым проектом получаем рабочий сайт. А теперь проблема: часть проектов переводим на связку nginx + php-fpm. При этом задание рутовой директории ложится на nginx. Как так же красиво и легко сделать задание root в конфиге nginx? From chipitsine at gmail.com Wed Apr 9 11:46:43 2014 From: chipitsine at gmail.com (=?KOI8-R?B?6czY0SD7ydDJw8nO?=) Date: Wed, 9 Apr 2014 17:46:43 +0600 Subject: nginx-1.5.13 In-Reply-To: <1716974.Hi6PaJBv42@vbart-laptop> References: <20140408143418.GE34696@mdounin.ru> <534432CF.80505@gmail.com> <1716974.Hi6PaJBv42@vbart-laptop> Message-ID: в auto/lib/openssl/conf можно добавить проверку версии OpenSSL (и флагов), сделать патч ? 2014-04-08 23:36 GMT+06:00 Валентин Бартенев : > On Tuesday 08 April 2014 10:33:03 Konstantin Svist wrote: > [..] >> >> А для Heartbleed проблемы будет патч? >> > > Обновите OpenSSL. > > Подробности: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/ > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From mdounin at mdounin.ru Wed Apr 9 11:47:13 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 9 Apr 2014 15:47:13 +0400 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: References: Message-ID: <20140409114713.GL34696@mdounin.ru> Hello! On Wed, Apr 09, 2014 at 01:41:06PM +0400, Vladislav Shabanov wrote: > Добрый день! > > В чём суть уязвимости и как исправлять все, думаю, уже в курсе. > А вот вопрос, который после исправления было бы интересно поизучать: > > В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог > не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? > Вариант ?включить уровень логов DEBUG и в нём утонуть? не нравится. > > У кого какие мысли? Максимум, что можно сделать со стороны nginx'а - это логгировать сам факт соединения (и он таки логгируется на уровне info). Следует однако понимать, что отличить соединение, в котором уязвимость эксплуатируется, от обычного соединения с обычным запросом при правильном подходе к вопросу эксплуатации данной уязвимости - не представляется возможным вообще никак. Разве что запрошенный через heartbeat кускок данных будет достаточно большим, чтобы вызвать segmentation fault в OpenSSL. -- Maxim Dounin http://nginx.org/ From mdounin at mdounin.ru Wed Apr 9 12:03:58 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 9 Apr 2014 16:03:58 +0400 Subject: nginx-1.5.13 In-Reply-To: References: <20140408143418.GE34696@mdounin.ru> <534432CF.80505@gmail.com> <1716974.Hi6PaJBv42@vbart-laptop> Message-ID: <20140409120358.GM34696@mdounin.ru> Hello! On Wed, Apr 09, 2014 at 05:46:43PM +0600, Илья Шипицин wrote: > в auto/lib/openssl/conf можно добавить проверку версии OpenSSL (и > флагов), сделать патч ? Можно, но не нужно. Зачастую вендоры патчат уязвимости в старых версиях, а не обновляются на новые. Не говоря уже о том, что простейший способ исправления уязвимости - просто пересобрать OpenSSL без heartbeat. > > 2014-04-08 23:36 GMT+06:00 Валентин Бартенев : > > On Tuesday 08 April 2014 10:33:03 Konstantin Svist wrote: > > [..] > >> > >> А для Heartbleed проблемы будет патч? > >> > > > > Обновите OpenSSL. > > > > Подробности: http://nginx.com/blog/nginx-and-the-heartbleed-vulnerability/ > > > > -- > > Валентин Бартенев > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru at nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Maxim Dounin http://nginx.org/ From anatoly at sonru.com Wed Apr 9 12:37:25 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Wed, 9 Apr 2014 13:37:25 +0100 Subject: =?UTF-8?B?0LDQv9Cz0YDQtdC50LQg0LHQuNC90LDRgNC90LjQutCw?= Message-ID: <8681DECE-2F6D-464A-A4FE-BBF659B26BF0@sonru.com> Проблема в запуске бинарника (запуск init.d скриптом приводит к аналогичному результату, что очевидно): [root at localhost nginx]# /etc/init.d/nginx start Starting nginx: После чего скрипт ждет STDIN и не заканчивает работу. Соответственно, после закрытия консоли, Nginx вылетает. Обновление было с 1.3.14 до 1.3.15, с последующим обновлением бинарника: kill -USR2 $(cat /opt/nginx/logs/nginx.pid); kill -WINCH $(cat /opt/nginx/logs/nginx.pid.oldbin); kill -QUIT $(cat /opt/nginx/logs/nginx.pid.oldbin); Error.log следующий: 2014/04/09 12:30:51 [notice] 1887#0: using inherited sockets from "1.5.13" 2014/04/09 12:30:53 [notice] 1896#0: using inherited sockets from "1.5.13" 2014/04/09 12:30:53 [notice] 1896#0: using the "epoll" event method 2014/04/09 12:30:53 [notice] 1896#0: nginx/1.5.13 2014/04/09 12:30:53 [notice] 1896#0: built by gcc 4.6.3 20120306 (Red Hat 4.6.3-2) (GCC) 2014/04/09 12:30:53 [notice] 1896#0: OS: Linux 3.4.43-43.43.amzn1.x86_64 2014/04/09 12:30:53 [notice] 1896#0: getrlimit(RLIMIT_NOFILE): 1024:4096 2014/04/09 12:30:53 [notice] 1896#0: start worker processes 2014/04/09 12:30:53 [notice] 1896#0: start worker process 1897 Окружение: nginx version: nginx/1.5.13 built by gcc 4.6.3 20120306 (Red Hat 4.6.3-2) (GCC) TLS SNI support enabled configure arguments: --prefix=/opt/nginx --with-pcre=/usr/src/pcre-8.32 --with-pcre-jit --with-openssl=/usr/src/openssl-1.0.1g --with-openssl-opt=no-krb5 --with-http_ssl_module --with-http_spdy_module --without-mail_pop3_module --without-mail_smtp_module --without-mail_imap_module --with-http_stub_status_module --with-http_gzip_static_module --with-http_secure_link_module --with-http_flv_module --with-http_mp4_module From anatoly at sonru.com Wed Apr 9 12:38:51 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Wed, 9 Apr 2014 13:38:51 +0100 Subject: =?UTF-8?B?UmU6INCw0L/Qs9GA0LXQudC0INCx0LjQvdCw0YDQvdC40LrQsA==?= In-Reply-To: <8681DECE-2F6D-464A-A4FE-BBF659B26BF0@sonru.com> References: <8681DECE-2F6D-464A-A4FE-BBF659B26BF0@sonru.com> Message-ID: <5F65C246-B722-4AD5-A331-65E8C7C509FA@sonru.com> Ошибка в тексте: * апгрейд с 1.3.14 до 1.5.13 (последняя версия на сегодняшний день) Анатолий On 09 Apr 2014, at 13:37, Anatoly Mikhailov wrote: > Проблема в запуске бинарника (запуск init.d скриптом приводит к аналогичному результату, что очевидно): > > [root at localhost nginx]# /etc/init.d/nginx start > Starting nginx: > > После чего скрипт ждет STDIN и не заканчивает работу. Соответственно, после закрытия консоли, Nginx вылетает. > Обновление было с 1.3.14 до 1.3.15, с последующим обновлением бинарника: > > kill -USR2 $(cat /opt/nginx/logs/nginx.pid); > kill -WINCH $(cat /opt/nginx/logs/nginx.pid.oldbin); > kill -QUIT $(cat /opt/nginx/logs/nginx.pid.oldbin); > > Error.log следующий: > 2014/04/09 12:30:51 [notice] 1887#0: using inherited sockets from "1.5.13" > 2014/04/09 12:30:53 [notice] 1896#0: using inherited sockets from "1.5.13" > 2014/04/09 12:30:53 [notice] 1896#0: using the "epoll" event method > 2014/04/09 12:30:53 [notice] 1896#0: nginx/1.5.13 > 2014/04/09 12:30:53 [notice] 1896#0: built by gcc 4.6.3 20120306 (Red Hat 4.6.3-2) (GCC) > 2014/04/09 12:30:53 [notice] 1896#0: OS: Linux 3.4.43-43.43.amzn1.x86_64 > 2014/04/09 12:30:53 [notice] 1896#0: getrlimit(RLIMIT_NOFILE): 1024:4096 > 2014/04/09 12:30:53 [notice] 1896#0: start worker processes > 2014/04/09 12:30:53 [notice] 1896#0: start worker process 1897 > > Окружение: > nginx version: nginx/1.5.13 > built by gcc 4.6.3 20120306 (Red Hat 4.6.3-2) (GCC) > TLS SNI support enabled > configure arguments: --prefix=/opt/nginx --with-pcre=/usr/src/pcre-8.32 --with-pcre-jit --with-openssl=/usr/src/openssl-1.0.1g --with-openssl-opt=no-krb5 --with-http_ssl_module --with-http_spdy_module --without-mail_pop3_module --without-mail_smtp_module --without-mail_imap_module --with-http_stub_status_module --with-http_gzip_static_module --with-http_secure_link_module --with-http_flv_module --with-http_mp4_module > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From anatoly at sonru.com Wed Apr 9 13:39:09 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Wed, 9 Apr 2014 14:39:09 +0100 Subject: =?UTF-8?B?UmU6INCw0L/Qs9GA0LXQudC0INCx0LjQvdCw0YDQvdC40LrQsA==?= In-Reply-To: <5F65C246-B722-4AD5-A331-65E8C7C509FA@sonru.com> References: <8681DECE-2F6D-464A-A4FE-BBF659B26BF0@sonru.com> <5F65C246-B722-4AD5-A331-65E8C7C509FA@sonru.com> Message-ID: <79F1C329-FF11-4925-9BFF-4E305B517541@sonru.com> Прилагаю init скрипт, который отлично работал несколько лет: https://gist.github.com/mikhailov/10271461 Возможно в 1.5.* изменился процесс запуска в режиме daemon и скрипт требует обновления? В таком режиме nginx ушел в бэкграунд, но я думаю, это плохой способ: /opt/nginx/sbin/nginx & Анатолий On 09 Apr 2014, at 13:38, Anatoly Mikhailov wrote: > Ошибка в тексте: * апгрейд с 1.3.14 до 1.5.13 (последняя версия на сегодняшний день) > > Анатолий > > On 09 Apr 2014, at 13:37, Anatoly Mikhailov wrote: > >> Проблема в запуске бинарника (запуск init.d скриптом приводит к аналогичному результату, что очевидно): >> >> [root at localhost nginx]# /etc/init.d/nginx start >> Starting nginx: >> >> После чего скрипт ждет STDIN и не заканчивает работу. Соответственно, после закрытия консоли, Nginx вылетает. >> Обновление было с 1.3.14 до 1.3.15, с последующим обновлением бинарника: >> >> kill -USR2 $(cat /opt/nginx/logs/nginx.pid); >> kill -WINCH $(cat /opt/nginx/logs/nginx.pid.oldbin); >> kill -QUIT $(cat /opt/nginx/logs/nginx.pid.oldbin); >> >> Error.log следующий: >> 2014/04/09 12:30:51 [notice] 1887#0: using inherited sockets from "1.5.13" >> 2014/04/09 12:30:53 [notice] 1896#0: using inherited sockets from "1.5.13" >> 2014/04/09 12:30:53 [notice] 1896#0: using the "epoll" event method >> 2014/04/09 12:30:53 [notice] 1896#0: nginx/1.5.13 >> 2014/04/09 12:30:53 [notice] 1896#0: built by gcc 4.6.3 20120306 (Red Hat 4.6.3-2) (GCC) >> 2014/04/09 12:30:53 [notice] 1896#0: OS: Linux 3.4.43-43.43.amzn1.x86_64 >> 2014/04/09 12:30:53 [notice] 1896#0: getrlimit(RLIMIT_NOFILE): 1024:4096 >> 2014/04/09 12:30:53 [notice] 1896#0: start worker processes >> 2014/04/09 12:30:53 [notice] 1896#0: start worker process 1897 >> >> Окружение: >> nginx version: nginx/1.5.13 >> built by gcc 4.6.3 20120306 (Red Hat 4.6.3-2) (GCC) >> TLS SNI support enabled >> configure arguments: --prefix=/opt/nginx --with-pcre=/usr/src/pcre-8.32 --with-pcre-jit --with-openssl=/usr/src/openssl-1.0.1g --with-openssl-opt=no-krb5 --with-http_ssl_module --with-http_spdy_module --without-mail_pop3_module --without-mail_smtp_module --without-mail_imap_module --with-http_stub_status_module --with-http_gzip_static_module --with-http_secure_link_module --with-http_flv_module --with-http_mp4_module >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru at nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From mdounin at mdounin.ru Wed Apr 9 14:08:41 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 9 Apr 2014 18:08:41 +0400 Subject: =?UTF-8?B?UmU6INCw0L/Qs9GA0LXQudC0INCx0LjQvdCw0YDQvdC40LrQsA==?= In-Reply-To: <8681DECE-2F6D-464A-A4FE-BBF659B26BF0@sonru.com> References: <8681DECE-2F6D-464A-A4FE-BBF659B26BF0@sonru.com> Message-ID: <20140409140841.GN34696@mdounin.ru> Hello! On Wed, Apr 09, 2014 at 01:37:25PM +0100, Anatoly Mikhailov wrote: > Проблема в запуске бинарника (запуск init.d скриптом приводит к аналогичному результату, что очевидно): > > [root at localhost nginx]# /etc/init.d/nginx start > Starting nginx: > > После чего скрипт ждет STDIN и не заканчивает работу. Соответственно, после закрытия консоли, Nginx вылетает. > Обновление было с 1.3.14 до 1.3.15, с последующим обновлением бинарника: > > kill -USR2 $(cat /opt/nginx/logs/nginx.pid); > kill -WINCH $(cat /opt/nginx/logs/nginx.pid.oldbin); > kill -QUIT $(cat /opt/nginx/logs/nginx.pid.oldbin); > > Error.log следующий: > 2014/04/09 12:30:51 [notice] 1887#0: using inherited sockets from "1.5.13" > 2014/04/09 12:30:53 [notice] 1896#0: using inherited sockets from "1.5.13" Кто-то определил переменную окружения NGINX, и в результате nginx пытается использовать из неё сокеты. Не надо так. (c) -- Maxim Dounin http://nginx.org/ From anatoly at sonru.com Wed Apr 9 14:33:49 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Wed, 9 Apr 2014 15:33:49 +0100 Subject: =?UTF-8?B?UmU6INCw0L/Qs9GA0LXQudC0INCx0LjQvdCw0YDQvdC40LrQsA==?= In-Reply-To: <20140409140841.GN34696@mdounin.ru> References: <8681DECE-2F6D-464A-A4FE-BBF659B26BF0@sonru.com> <20140409140841.GN34696@mdounin.ru> Message-ID: <2BA9B706-7B35-4661-B226-32143A2A82AB@sonru.com> On 09 Apr 2014, at 15:08, Maxim Dounin wrote: > Hello! > > On Wed, Apr 09, 2014 at 01:37:25PM +0100, Anatoly Mikhailov wrote: > >> Проблема в запуске бинарника (запуск init.d скриптом приводит к аналогичному результату, что очевидно): >> >> [root at localhost nginx]# /etc/init.d/nginx start >> Starting nginx: >> >> После чего скрипт ждет STDIN и не заканчивает работу. Соответственно, после закрытия консоли, Nginx вылетает. >> Обновление было с 1.3.14 до 1.3.15, с последующим обновлением бинарника: >> >> kill -USR2 $(cat /opt/nginx/logs/nginx.pid); >> kill -WINCH $(cat /opt/nginx/logs/nginx.pid.oldbin); >> kill -QUIT $(cat /opt/nginx/logs/nginx.pid.oldbin); >> >> Error.log следующий: >> 2014/04/09 12:30:51 [notice] 1887#0: using inherited sockets from "1.5.13" >> 2014/04/09 12:30:53 [notice] 1896#0: using inherited sockets from "1.5.13" > > Кто-то определил переменную окружения NGINX, и в результате nginx > пытается использовать из неё сокеты. > > Не надо так. (c) Максим, нет слов, как тебя отблагодарить! Побольше таких людей как ты и жить станет проще и веселее :) > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From vlad.shabanov at gmail.com Wed Apr 9 15:32:30 2014 From: vlad.shabanov at gmail.com (Vladislav Shabanov) Date: Wed, 9 Apr 2014 19:32:30 +0400 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: <20140409114713.GL34696@mdounin.ru> References: <20140409114713.GL34696@mdounin.ru> Message-ID: <20733E95-348C-4763-A04D-65B76551ED16@gmail.com> Существует ли простой способ сделать (на уровне конфигов, разумеется, программировать это скорее всего никому не захочется) логирование холостых обращений (сокет открыли, но ничего не GET/POST/?) ? И, кстати, вопрос тем, кто nginX отлаживает: а много таких холостых обращений ?по жизни?? 09 апр. 2014 г., в 15:47, Maxim Dounin написал(а): > Hello! > > On Wed, Apr 09, 2014 at 01:41:06PM +0400, Vladislav Shabanov wrote: > >> Добрый день! >> >> В чём суть уязвимости и как исправлять все, думаю, уже в курсе. >> А вот вопрос, который после исправления было бы интересно поизучать: >> >> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог >> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? >> Вариант ?включить уровень логов DEBUG и в нём утонуть? не нравится. >> >> У кого какие мысли? > > Максимум, что можно сделать со стороны nginx'а - это логгировать > сам факт соединения (и он таки логгируется на уровне info). > > Следует однако понимать, что отличить соединение, в котором > уязвимость эксплуатируется, от обычного соединения с обычным > запросом при правильном подходе к вопросу эксплуатации данной > уязвимости - не представляется возможным вообще никак. Разве что > запрошенный через heartbeat кускок данных будет достаточно > большим, чтобы вызвать segmentation fault в OpenSSL. > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From mdounin at mdounin.ru Wed Apr 9 15:44:08 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 9 Apr 2014 19:44:08 +0400 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: <20733E95-348C-4763-A04D-65B76551ED16@gmail.com> References: <20140409114713.GL34696@mdounin.ru> <20733E95-348C-4763-A04D-65B76551ED16@gmail.com> Message-ID: <20140409154408.GP34696@mdounin.ru> Hello! On Wed, Apr 09, 2014 at 07:32:30PM +0400, Vladislav Shabanov wrote: > Существует ли простой способ сделать (на уровне конфигов, разумеется, программировать это > скорее всего никому не захочется) логирование холостых обращений (сокет открыли, но ничего > не GET/POST/?) ? Включить error_log на уровне info, "холостые" обращения будут видны как "client closed connection while waiting for request": 2014/04/09 15:35:34 [info] 57195#0: *1 client closed connection while waiting for request, client: 127.0.0.1, server: 0.0.0.0:8080 > И, кстати, вопрос тем, кто nginX отлаживает: а много таких холостых обращений ?по жизни?? Много, т.к. современные браузеры очень любять открывать соединения "про запас". Но, повторюсь, всё это мало относится к вопросам детектирования эксплуатации проблемы в heartbeat. Никто не мешает атакующему сделать в соединении честный запрос, а heartbeat-запросы слать параллельно и/или потом, пока соединение будет в keepalive'е. > > 09 апр. 2014 г., в 15:47, Maxim Dounin написал(а): > > > Hello! > > > > On Wed, Apr 09, 2014 at 01:41:06PM +0400, Vladislav Shabanov wrote: > > > >> Добрый день! > >> > >> В чём суть уязвимости и как исправлять все, думаю, уже в курсе. > >> А вот вопрос, который после исправления было бы интересно поизучать: > >> > >> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог > >> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? > >> Вариант ?включить уровень логов DEBUG и в нём утонуть? не нравится. > >> > >> У кого какие мысли? > > > > Максимум, что можно сделать со стороны nginx'а - это логгировать > > сам факт соединения (и он таки логгируется на уровне info). > > > > Следует однако понимать, что отличить соединение, в котором > > уязвимость эксплуатируется, от обычного соединения с обычным > > запросом при правильном подходе к вопросу эксплуатации данной > > уязвимости - не представляется возможным вообще никак. Разве что > > запрошенный через heartbeat кускок данных будет достаточно > > большим, чтобы вызвать segmentation fault в OpenSSL. > > > > -- > > Maxim Dounin > > http://nginx.org/ > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru at nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Maxim Dounin http://nginx.org/ From citrin at citrin.ru Wed Apr 9 15:46:53 2014 From: citrin at citrin.ru (Anton Yuzhaninov) Date: Wed, 09 Apr 2014 19:46:53 +0400 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: References: Message-ID: <53456B6D.1090101@citrin.ru> On 04/09/14 13:41, Vladislav Shabanov wrote: > В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог > не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? Если очень хочется знать о безуспешных аттаках, то лучше использовать что то типа SNORT. И про heartbleed он должен знать. From anatoly at sonru.com Wed Apr 9 21:17:03 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Wed, 9 Apr 2014 22:17:03 +0100 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: <53456B6D.1090101@citrin.ru> References: <53456B6D.1090101@citrin.ru> Message-ID: <73F20FA5-7DA8-48A0-9F82-EC7A25E80754@sonru.com> Если SSL ciphers оставались стандартные (ssl_ciphers: дефолтное значение) на Nginx 1.3.14, то Forward Secrecy был включен. Вопрос: надо ли генерить CSR и заказывать новые SSL ключи или Forward Secrecy помог избежать полной утечки приватных ключей? Анатолий On 09 Apr 2014, at 16:46, Anton Yuzhaninov wrote: > On 04/09/14 13:41, Vladislav Shabanov wrote: >> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог >> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? > > Если очень хочется знать о безуспешных аттаках, то лучше использовать что то типа SNORT. И про heartbleed он должен знать. > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From chipitsine at gmail.com Thu Apr 10 04:26:09 2014 From: chipitsine at gmail.com (=?KOI8-R?B?6czY0SD7ydDJw8nO?=) Date: Thu, 10 Apr 2014 10:26:09 +0600 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: <73F20FA5-7DA8-48A0-9F82-EC7A25E80754@sonru.com> References: <53456B6D.1090101@citrin.ru> <73F20FA5-7DA8-48A0-9F82-EC7A25E80754@sonru.com> Message-ID: при включенном forward secrecy наличия закрытого ключа (у злоумышленника) недостаточно для расшифровки потока. от атаки на память сервера это не защищает четверг, 10 апреля 2014 г. пользователь Anatoly Mikhailov написал: > Если SSL ciphers оставались стандартные (ssl_ciphers: дефолтное значение) > на Nginx 1.3.14, > то Forward Secrecy был включен. Вопрос: надо ли генерить CSR и заказывать > новые SSL ключи > или Forward Secrecy помог избежать полной утечки приватных ключей? > > Анатолий > > > On 09 Apr 2014, at 16:46, Anton Yuzhaninov > > wrote: > > > On 04/09/14 13:41, Vladislav Shabanov wrote: > >> В типовых настройках конфигов при таких вот битых обращениях ни одной > строчки в лог > >> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие > обращения? > > > > Если очень хочется знать о безуспешных аттаках, то лучше использовать > что то типа SNORT. И про heartbleed он должен знать. > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru at nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From anatoly at sonru.com Thu Apr 10 06:24:22 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Thu, 10 Apr 2014 07:24:22 +0100 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: References: <53456B6D.1090101@citrin.ru> <73F20FA5-7DA8-48A0-9F82-EC7A25E80754@sonru.com> Message-ID: на данный момент меня интересует только необходимость заказа новых ключей, я правильно понимаю, при включенном forward secrecy приватные ключи утечь не могли? Анатолий On 10 Apr 2014, at 05:26, Илья Шипицин wrote: > при включенном forward secrecy наличия закрытого ключа (у злоумышленника) недостаточно для расшифровки потока. от атаки на память сервера это не защищает > > четверг, 10 апреля 2014 г. пользователь Anatoly Mikhailov написал: > Если SSL ciphers оставались стандартные (ssl_ciphers: дефолтное значение) на Nginx 1.3.14, > то Forward Secrecy был включен. Вопрос: надо ли генерить CSR и заказывать новые SSL ключи > или Forward Secrecy помог избежать полной утечки приватных ключей? > > Анатолий > > > On 09 Apr 2014, at 16:46, Anton Yuzhaninov wrote: > > > On 04/09/14 13:41, Vladislav Shabanov wrote: > >> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог > >> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? > > > > Если очень хочется знать о безуспешных аттаках, то лучше использовать что то типа SNORT. И про heartbleed он должен знать. > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru at nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From anatoly at sonru.com Thu Apr 10 06:42:23 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Thu, 10 Apr 2014 07:42:23 +0100 Subject: =?UTF-8?B?T1NDUCDQvdC10LDQstGC0L7RgNC40LfQvtCy0LDQvdC90YvQuSDQt9Cw0L/RgNC+?= =?UTF-8?B?0YE=?= Message-ID: <477F3238-BDE3-45F1-AEB1-106085491057@sonru.com> Наблюдаю следующую строку в error.log с дефолтным уровнем логирования: OCSP response not successful (6: unauthorized) while requesting certificate status, responder: ocsp.comodoca.com Окружение: Nginx 1.5.13, настройки ssl/tls следующие: ssl_session_timeout 15m; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_stapling on; Анатолий From nginx-forum at nginx.us Thu Apr 10 08:19:16 2014 From: nginx-forum at nginx.us (softshape) Date: Thu, 10 Apr 2014 04:19:16 -0400 Subject: =?UTF-8?B?0J/QtdGA0LXQvdC10YHRgtC4INC60YPQutC4INGBINC00L7QvNC10L3QsCDQvdCw?= =?UTF-8?B?INC00L7QvNC10L0=?= Message-ID: Всем привет, наш сайт меняет домен, и стоит задача перенести на новый домен пользовательские сессии. То есть куки. Я планировал сделать постоянный редирект вида: server { server_name www.old.ru; rewrite ^(.*) http://www.new.ru$1 permanent; } Можно ли при этом прочитать куки с www.old.ru и передать их в редиректе на www.new.ru ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249188,249188#msg-249188 From nginx-forum at nginx.us Thu Apr 10 11:08:58 2014 From: nginx-forum at nginx.us (a1235530) Date: Thu, 10 Apr 2014 07:08:58 -0400 Subject: =?UTF-8?B?0J7RiNC40LHQutCwIDUwMCBJbnRlcm5hbCBzZXJ2ZXIgZXJyb3Ig0L/RgNC4INC9?= =?UTF-8?B?0LDRgdGC0YDQvtC50LrQsCDRgNC10LTQuNGA0LXQutGC0L7Qsg==?= Message-ID: <3d0f541aea0f6916b2ee631926eb3920.NginxMailingListRussian@forum.nginx.org> Доброго времени суток! Пытаюсь настроить редирект для повторяющегося get параметра. Например ссылка: http://site.ru/katalog/CD11104/?s-price-min=10&s-price-max=50&s-configurator-1000=500&и еще несколько s-configurator-x=y?s-cat_id=100 Должна превратиться в ссылку http://site.ru/katalog/CD11104/100/100-500/id configurator-значение/id configurator-значение/и тд/price-min/price-max/ Вот правила: if ($query_string ~ "^s-price-min=(.*)&s-price-max=(.*)&s-configurator-(.*)=(.*)&s-cat_id=(.*)"){ set $cat_1 $1; set $cat_2 $2; set $cat_3 $3; set $cat_4 $4; set $cat_5 $5; rewrite /katalog/([^\/]*)\/(.*) /katalog/$1/$cat_5/$cat_3-$cat_4/pmin$cat_1/pmax$cat_2/? permanent; } if ($query_string ~ "^s-price-min=(.*)&s-price-max=(.*)&s-configurator-(.*)=(.*)&s-configurator-(.*)=(.*)&s-cat_id=(.*)"){ set $cat_1 $1; set $cat_2 $2; set $cat_3 $3; set $cat_4 $4; set $cat_5 $5; set $cat_6 $6; set $cat_7 $7; rewrite /katalog/([^\/]*)\/(.*) /katalog/$1/$cat_7/$cat_3-$cat_4/$cat_5-$cat_6/pmin$cat_1/pmax$cat_2/? permanent; } и тд. rewrite ^/katalog/([^\/]*)\/([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-([^\/]*)\/pmin(.*)/pmax(.*)/?$ /index.php?/katalog/$1/&s-price-min=$7&s-price-max=$8&s-configurator-$3=$4&s-configurator-$5=$6&s-cat_id=$2? break; rewrite ^/katalog/([^\/]*)\/([^\/]*)\/([^\/]*)-([^\/]*)\/pmin(.*)/pmax(.*)/?$ /index.php?/katalog/$1/&s-price-min=$5&s-price-max=$6&s-configurator-$3=$4&s-cat_id=$2? break; и тд. Вроде все работает, но когда доходит до 13 параметра if ($query_string ~ "^s-price-min=(.*)&s-price-max=(.*)&s-configurator-(.*)=(.*)&s-configurator-(.*)=(.*)&s-configurator-(.*)=(.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s-cat_id=(.*)"){ set $cat_1 $1; set $cat_2 $2; set $cat_3 $3; set $cat_4 $4; set $cat_5 $5; set $cat_6 $6; set $cat_7 $7; set $cat_8 $8; set $cat_9 $9; set $cat_10 $n0; set $cat_11 $n1; set $cat_12 $n2; set $cat_13 $n3; set $cat_14 $n4; set $cat_15 $n5; set $cat_16 $n6; set $cat_17 $n7; set $cat_18 $n8; set $cat_19 $n9; set $cat_20 $a0; set $cat_21 $a1; set $cat_22 $a2; set $cat_23 $a3; set $cat_24 $a4; set $cat_25 $a5; set $cat_26 $a6; set $cat_27 $a7; set $cat_28 $a8; set $cat_29 $a9; set $cat_30 $b0; set $cat_31 $b1; set $cat_32 $b2; set $cat_33 $b3; set $cat_34 $b4; set $cat_35 $b5; set $cat_36 $b6; set $cat_37 $b7; set $cat_38 $b8; set $cat_39 $b9; set $cat_40 $c0; set $cat_41 $c1; set $cat_42 $c2; set $cat_43 $c3; rewrite /katalog/([^\/]*)\/(.*) /katalog/$1/$cat_9/$cat_3-$cat_4/$cat_5-$cat_6/$cat_7-$cat_8/$cat_10-$cat_11/$cat_12-$cat_13/$cat_14-$cat_15/$cat_16-$cat_17/$cat_18-$cat_19/$cat_20-$cat_21/$cat_22-$cat_23/$cat_24-$cat_25/$cat_26-$cat_27/$cat_28-$cat_29/$cat_30-$cat_31/$cat_32-$cat_33/$cat_34-$cat_35/$cat_36-$cat_37/$cat_38-$cat_39/$cat_40-$cat_41/$cat_42-$cat_43/pmin$cat_1/pmax$cat_2/? permanent; } и rewrite ^/katalog/([^\/]*)\/([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/pmin(?.*)/pmax(?.*)/?$ /index.php?/katalog/$1/&s-price-min=$c3&s-price-max=$c4&s-configurator-$3=$4&s-configurator-$5=$6&s-configurator-$7=$8&s-configurator-$9=$n0&s-configurator-$n1=$n2&s-configurator-$n3=$n4&s-configurator-$n5=$n6&s-configurator-$n7=$n8&s-configurator-$n9=$a0&s-configurator-$a1=$a2&s-configurator-$a3=$a4&s-configurator-$a5=$a6&s-configurator-$a7=$a8&s-configurator-$a9=$b0&s-configurator-$b1=$b2&s-configurator-$b3=$b4&s-configurator-$b5=$b6&s-configurator-$b7=$b8&s-configurator-$b9=$c0&s-configurator-$c1=$c2&s-cat_id=$2? break; Выдает ошибку 500 interrnal server error а в error логе появляется ошибка pcre_exec() failed: -8 Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249191,249191#msg-249191 From mdounin at mdounin.ru Thu Apr 10 11:47:50 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 10 Apr 2014 15:47:50 +0400 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: References: <53456B6D.1090101@citrin.ru> <73F20FA5-7DA8-48A0-9F82-EC7A25E80754@sonru.com> Message-ID: <20140410114750.GQ34696@mdounin.ru> Hello! On Thu, Apr 10, 2014 at 07:24:22AM +0100, Anatoly Mikhailov wrote: > на данный момент меня интересует только необходимость заказа новых ключей, > я правильно понимаю, при включенном forward secrecy приватные ключи утечь не могли? Нет, вероятность утекания приватных ключей от включённости forward secrecy никак не зависит. Отдельный вопрос - какова эта самая вероятность. > > Анатолий > > On 10 Apr 2014, at 05:26, Илья Шипицин wrote: > > > при включенном forward secrecy наличия закрытого ключа (у злоумышленника) недостаточно для расшифровки потока. от атаки на память сервера это не защищает > > > > четверг, 10 апреля 2014 г. пользователь Anatoly Mikhailov написал: > > Если SSL ciphers оставались стандартные (ssl_ciphers: дефолтное значение) на Nginx 1.3.14, > > то Forward Secrecy был включен. Вопрос: надо ли генерить CSR и заказывать новые SSL ключи > > или Forward Secrecy помог избежать полной утечки приватных ключей? > > > > Анатолий > > > > > > On 09 Apr 2014, at 16:46, Anton Yuzhaninov wrote: > > > > > On 04/09/14 13:41, Vladislav Shabanov wrote: > > >> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог > > >> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? > > > > > > Если очень хочется знать о безуспешных аттаках, то лучше использовать что то типа SNORT. И про heartbleed он должен знать. > > > > > > _______________________________________________ > > > nginx-ru mailing list > > > nginx-ru at nginx.org > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru at nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru at nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Maxim Dounin http://nginx.org/ From vbart at nginx.com Thu Apr 10 11:48:49 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Thu, 10 Apr 2014 15:48:49 +0400 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCA1MDAgSW50ZXJuYWwgc2VydmVyIGVycm9yINC/0YA=?= =?UTF-8?B?0Lgg0L3QsNGB0YLRgNC+0LnQutCwINGA0LXQtNC40YDQtdC60YLQvtCy?= In-Reply-To: <3d0f541aea0f6916b2ee631926eb3920.NginxMailingListRussian@forum.nginx.org> References: <3d0f541aea0f6916b2ee631926eb3920.NginxMailingListRussian@forum.nginx.org> Message-ID: <2129886.xPeXit6tpE@vbart-laptop> On Thursday 10 April 2014 07:08:58 a1235530 wrote: > Доброго времени суток! Пытаюсь настроить редирект для повторяющегося get > параметра. Например ссылка: > > http://site.ru/katalog/CD11104/?s-price-min=10&s-price-max=50&s-configurator-1000=500&и > еще несколько s-configurator-x=y?s-cat_id=100 > > Должна превратиться в ссылку > > http://site.ru/katalog/CD11104/100/100-500/id configurator-значение/id > configurator-значение/и тд/price-min/price-max/ > > Вот правила: > > if ($query_string ~ > "^s-price-min=(.*)&s-price-max=(.*)&s-configurator-(.*)=(.*)&s-cat_id=(.*)") { > set $cat_1 $1; > set $cat_2 $2; > set $cat_3 $3; > set $cat_4 $4; > set $cat_5 $5; > rewrite /katalog/([^\/]*)\/(.*) > /katalog/$1/$cat_5/$cat_3-$cat_4/pmin$cat_1/pmax$cat_2/? permanent; > } > > if ($query_string ~ > "^s-price-min=(.*)&s-price-max=(.*)&s-configurator-(.*)=(.*)&s- configurator-(.*)=(.*)&s-cat_id=(.*)"){ > set $cat_1 $1; > set $cat_2 $2; > set $cat_3 $3; > set $cat_4 $4; > set $cat_5 $5; > set $cat_6 $6; > set $cat_7 $7; > rewrite /katalog/([^\/]*)\/(.*) > /katalog/$1/$cat_7/$cat_3-$cat_4/$cat_5-$cat_6/pmin$cat_1/pmax$cat_2/? > permanent; > } > > и тд. > > rewrite > ^/katalog/([^\/]*)\/([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-([^\/]*)\/pmin(.*)/pmax(.*)/? $ > /index.php?/katalog/$1/&s-price-min=$7&s-price-max=$8&s- configurator-$3=$4&s-configurator-$5=$6&s-cat_id=$2? > break; > > > rewrite > ^/katalog/([^\/]*)\/([^\/]*)\/([^\/]*)-([^\/]*)\/pmin(.*)/pmax(.*)/?$ > /index.php?/katalog/$1/&s-price-min=$5&s-price-max=$6&s- configurator-$3=$4&s-cat_id=$2? > break; > > и тд. > > Вроде все работает, но когда доходит до 13 параметра > > if ($query_string ~ > "^s-price-min=(.*)&s-price-max=(.*)&s-configurator-(.*)=(.*)&s- configurator-(.*)=(.*)&s-configurator-(.*)=(.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-configurator-(?.*)=(?.*)&s- configurator-(?.*)=(?.*)&s-cat_id=(.*)"){ > set $cat_1 $1; > set $cat_2 $2; > set $cat_3 $3; > set $cat_4 $4; > set $cat_5 $5; > set $cat_6 $6; > set $cat_7 $7; > set $cat_8 $8; > set $cat_9 $9; > set $cat_10 $n0; > set $cat_11 $n1; > set $cat_12 $n2; > set $cat_13 $n3; > set $cat_14 $n4; > set $cat_15 $n5; > set $cat_16 $n6; > set $cat_17 $n7; > set $cat_18 $n8; > set $cat_19 $n9; > set $cat_20 $a0; > set $cat_21 $a1; > set $cat_22 $a2; > set $cat_23 $a3; > set $cat_24 $a4; > set $cat_25 $a5; > set $cat_26 $a6; > set $cat_27 $a7; > set $cat_28 $a8; > set $cat_29 $a9; > set $cat_30 $b0; > set $cat_31 $b1; > set $cat_32 $b2; > set $cat_33 $b3; > set $cat_34 $b4; > set $cat_35 $b5; > set $cat_36 $b6; > set $cat_37 $b7; > set $cat_38 $b8; > set $cat_39 $b9; > set $cat_40 $c0; > set $cat_41 $c1; > set $cat_42 $c2; > set $cat_43 $c3; > rewrite /katalog/([^\/]*)\/(.*) > /katalog/$1/$cat_9/$cat_3-$cat_4/$cat_5-$cat_6/$cat_7-$cat_8/$cat_10-$cat_11/$cat_12-$cat_13/$cat_14-$cat_15/$cat_16-$cat_17/$cat_18-$cat_19/$cat_20-$cat_21/$cat_22-$cat_23/$cat_24-$cat_25/$cat_26-$cat_27/$cat_28-$cat_29/$cat_30-$cat_31/$cat_32-$cat_33/$cat_34-$cat_35/$cat_36-$cat_37/$cat_38-$cat_39/$cat_40-$cat_41/$cat_42-$cat_43/pmin$cat_1/pmax$cat_2/? > permanent; > } > > и > > rewrite > ^/katalog/([^\/]*)\/([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-([^\/]*)\/([^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/(?[^\/]*)-(?[^\/]*)\/pmin(?.*)/pmax(?.*)/? $ > /index.php?/katalog/$1/&s-price-min=$c3&s-price-max=$c4&s- configurator-$3=$4&s-configurator-$5=$6&s-configurator-$7=$8&s- configurator-$9=$n0&s-configurator-$n1=$n2&s-configurator-$n3=$n4&s- configurator-$n5=$n6&s-configurator-$n7=$n8&s-configurator-$n9=$a0&s- configurator-$a1=$a2&s-configurator-$a3=$a4&s-configurator-$a5=$a6&s- configurator-$a7=$a8&s-configurator-$a9=$b0&s-configurator-$b1=$b2&s- configurator-$b3=$b4&s-configurator-$b5=$b6&s-configurator-$b7=$b8&s- configurator-$b9=$c0&s-configurator-$c1=$c2&s-cat_id=$2? > break; > > Выдает ошибку 500 interrnal server error а в error логе появляется ошибка > pcre_exec() failed: -8 > Не мудрено, вы исчерпали PCRE_MATCH_LIMIT, и боюсь себе представить, каким он должен быть для такой рекурсивной регулярки. -- Валентин Бартенев From mdounin at mdounin.ru Thu Apr 10 11:56:31 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 10 Apr 2014 15:56:31 +0400 Subject: =?UTF-8?B?UmU6IE9TQ1Ag0L3QtdCw0LLRgtC+0YDQuNC30L7QstCw0L3QvdGL0Lkg0LfQsNC/?= =?UTF-8?B?0YDQvtGB?= In-Reply-To: <477F3238-BDE3-45F1-AEB1-106085491057@sonru.com> References: <477F3238-BDE3-45F1-AEB1-106085491057@sonru.com> Message-ID: <20140410115631.GR34696@mdounin.ru> Hello! On Thu, Apr 10, 2014 at 07:42:23AM +0100, Anatoly Mikhailov wrote: > Наблюдаю следующую строку в error.log с дефолтным уровнем логирования: > > OCSP response not successful (6: unauthorized) while requesting certificate status, responder: ocsp.comodoca.com > > Окружение: Nginx 1.5.13, настройки ssl/tls следующие: > ssl_session_timeout 15m; > ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; > ssl_prefer_server_ciphers on; > ssl_session_cache shared:SSL:10m; > ssl_stapling on; Вероятно, OCSP-респондер хотел сказать, что он не располагает достаточной информацией и не может сказать, валиден он или нет, http://tools.ietf.org/html/rfc5019#section-2.2.3: As long as the OCSP infrastructure has authoritative records for a particular certificate, an OCSPResponseStatus of "successful" will be returned. When access to authoritative records for a particular certificate is not available, the responder MUST return an OCSPResponseStatus of "unauthorized". As such, this profile extends the RFC 2560 [OCSP] definition of "unauthorized" as follows: The response "unauthorized" is returned in cases where the client is not authorized to make this query to this server or the server is not capable of responding authoritatively. For example, OCSP responders that do not have access to authoritative records for a requested certificate, such as those that generate and distribute OCSP responses in advance and thus do not have the ability to properly respond with a signed "successful" yet "unknown" response, will respond with an OCSPResponseStatus of "unauthorized". Also, in order to ensure the database of revocation information does not grow unbounded over time, the responder MAY remove the status records of expired certificates. Requests from clients for certificates whose record has been removed will result in an OCSPResponseStatus of "unauthorized". Почему так - вопрос к COMODO. Вероятно, сертификат свежий, и OCSP-респондер про него ещё не знает. Со своей стороны nginx такой ответ для stapling'а использовать не будет, и будет повторять попытки получить корректный ответ для stapling'а раз в 5 минут. -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Thu Apr 10 12:29:36 2014 From: nginx-forum at nginx.us (a1235530) Date: Thu, 10 Apr 2014 08:29:36 -0400 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCA1MDAgSW50ZXJuYWwgc2VydmVyIGVycm9yINC/0YA=?= =?UTF-8?B?0Lgg0L3QsNGB0YLRgNC+0LnQutCwINGA0LXQtNC40YDQtdC60YLQvtCy?= In-Reply-To: <2129886.xPeXit6tpE@vbart-laptop> References: <2129886.xPeXit6tpE@vbart-laptop> Message-ID: <8b8ae767d72a694650e61b9cec1562d3.NginxMailingListRussian@forum.nginx.org> Подскажите, можно ли увеличить лимит PCRE_MATCH_LIMIT, или как лучше тогда реализовать регулярку? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249191,249195#msg-249195 From vbart at nginx.com Thu Apr 10 12:43:06 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Thu, 10 Apr 2014 16:43:06 +0400 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCA1MDAgSW50ZXJuYWwgc2VydmVyIGVycm9yINC/0YA=?= =?UTF-8?B?0Lgg0L3QsNGB0YLRgNC+0LnQutCwINGA0LXQtNC40YDQtdC60YLQvtCy?= In-Reply-To: <8b8ae767d72a694650e61b9cec1562d3.NginxMailingListRussian@forum.nginx.org> References: <2129886.xPeXit6tpE@vbart-laptop> <8b8ae767d72a694650e61b9cec1562d3.NginxMailingListRussian@forum.nginx.org> Message-ID: <1690715.2Y78EHxJ3m@vbart-laptop> On Thursday 10 April 2014 08:29:36 a1235530 wrote: > Подскажите, можно ли увеличить лимит PCRE_MATCH_LIMIT, или как лучше тогда > реализовать регулярку? > Увеличит конечно можно, пересобрав pcre с другим значением PCRE_MATCH_LIMIT, но я не представляю куда уж ещё увеличивать, он по умолчанию 10 миллионов попугаев. Лучше отказаться от такой странной идеи - решать проблемы приложения с помощью веб-сервера и пинать разработчиков сайта. -- Валентин Бартенев From chipitsine at gmail.com Thu Apr 10 19:26:38 2014 From: chipitsine at gmail.com (=?KOI8-R?B?6czY0SD7ydDJw8nO?=) Date: Fri, 11 Apr 2014 01:26:38 +0600 Subject: =?UTF-8?B?UmU6INCf0LXRgNC10L3QtdGB0YLQuCDQutGD0LrQuCDRgSDQtNC+0LzQtdC90LAg?= =?UTF-8?B?0L3QsCDQtNC+0LzQtdC9?= In-Reply-To: References: Message-ID: допустим, что сессионная кука называется "session", тогда можно сделать так server { server_name www.old.ru; location / { rewrite ^/(.*)$ http://www.new.ru/$1 permanent; add_header Set-Cookie "session=$cookie_session;"; } } работать будет, но возникают вопросы. у вас кука выставляется сессионная ? если нет, то, боюсь, нет механизмов, чтобы узнать ее Expire. ну или можно задать в add_header аналогично модификаторы httponly, secure, path, domain 10 апреля 2014 г., 14:19 пользователь softshape написал: > Всем привет, > > наш сайт меняет домен, и стоит задача перенести на новый домен > пользовательские сессии. То есть куки. > > Я планировал сделать постоянный редирект вида: > > server { > server_name www.old.ru; > rewrite ^(.*) http://www.new.ru$1 permanent; > } > > Можно ли при этом прочитать куки с www.old.ru и передать их в редиректе на > www.new.ru ? > > Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249188,249188#msg-249188 > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum at nginx.us Thu Apr 10 20:55:00 2014 From: nginx-forum at nginx.us (cat) Date: Thu, 10 Apr 2014 16:55:00 -0400 Subject: =?UTF-8?B?0L/QtdGA0LXQvNC10L3QvdGL0LkgbGltaXQgcmVxIHpvbmUg0YEg0L/RgNC40L4=?= =?UTF-8?B?0YDQuNGC0LXRgtCw0LzQuA==?= Message-ID: Приветствую. Развивая эту недавнюю тему http://forum.nginx.org/read.php?21,237662 хочу немного доработать логику. Вместо раздачи каждому пользователю определённого ограничения сделать общее ограничение и раздать пользователям приоритеты. Итак: Пусть есть простой запрос: http://127.0.0.1/api?username=testuser Допустим, сервер способен выдержать не более 1000 соединений в секунду, остальные будут отбиваться. Эти самые 1000 разрешенных соединений распределяются между обычными пользователи и несколькими "избранными" с учётом приоритета. Т.е. если пользователь с высоким приоритетом занял всё ограничение - остальные ничего не получат. Как только он перестал слать запросы или уменьшил скорость соединений, освободившееся место занял мользователь с приоритетом меньше. Вот примерный конфиг как это (теоретически) должно было работать: #################################### map $arg_username $is_default { default 1; bob ""; alice ""; } map $arg_username $is_bob {bob 1;} map $arg_username $is_alice {alice 1;} # у всех пользователей одинаковый (как бы 'глобальный') rate=1000r/s limit_req_zone $is_bob zone=user_bob:32k rate=1000r/s; limit_req_zone $is_alice zone=user_alice:32k rate=1000r/s; limit_req_zone $is_default zone=default_limit:32k rate=1000r/s; # пользователь 'bob' с наивысшим приоритетом - вытесняет 'alice' и всех остальных # (поднимает флаг для всех зон "забирая" у них соединения) if ($is_bob = 1){ set $is_alice 1; set $is_default 1; } # пользователь 'alice' с меньшим приоритетом - вытесняет только всех остальных # (поднимает флаг для всех зон кроме user_bob т.к. приоритет у alice ниже) if ($is_alice = 1){ set $is_default 1; } location = /test { limit_req zone=user_bob; limit_req zone=user_alice; limit_req zone=default_limit; ... } ########## Под нагрузкой получается что-то похожее на одну [limit_req_zone rate=1000r/s] для всех. Я вижу в отбитых соединениях и bob и alice, хотя суммарная скорость соединений всех пользователей чуть более 1000 в секунду, а суммарная скорость bob и alice 500 соединений в секунду, т.е. блокироваться они не должны. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249202,249202#msg-249202 From vbart at nginx.com Thu Apr 10 22:04:24 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 11 Apr 2014 02:04:24 +0400 Subject: =?UTF-8?B?UmU6INC/0LXRgNC10LzQtdC90L3Ri9C5IGxpbWl0IHJlcSB6b25lINGBINC/0YA=?= =?UTF-8?B?0LjQvtGA0LjRgtC10YLQsNC80Lg=?= In-Reply-To: References: Message-ID: <4173540.9sNmboS6eX@vbart-laptop> On Thursday 10 April 2014 16:55:00 cat wrote: > Приветствую. Развивая эту недавнюю тему > http://forum.nginx.org/read.php?21,237662 хочу немного доработать логику. > Вместо раздачи каждому пользователю определённого ограничения сделать общее > ограничение и раздать пользователям приоритеты. Итак: > > Пусть есть простой запрос: > > http://127.0.0.1/api?username=testuser > > Допустим, сервер способен выдержать не более 1000 соединений в секунду, > остальные будут отбиваться. > Эти самые 1000 разрешенных соединений распределяются между обычными > пользователи и несколькими "избранными" с учётом приоритета. Т.е. если > пользователь с высоким приоритетом занял всё ограничение - остальные ничего > не получат. Как только он перестал слать запросы или уменьшил скорость > соединений, освободившееся место занял мользователь с приоритетом меньше. > > Вот примерный конфиг как это (теоретически) должно было работать: > > #################################### > map $arg_username $is_default { > default 1; > bob ""; > alice ""; > } > > map $arg_username $is_bob {bob 1;} > map $arg_username $is_alice {alice 1;} > > # у всех пользователей одинаковый (как бы 'глобальный') rate=1000r/s > limit_req_zone $is_bob zone=user_bob:32k rate=1000r/s; > limit_req_zone $is_alice zone=user_alice:32k rate=1000r/s; > limit_req_zone $is_default zone=default_limit:32k rate=1000r/s; > > > # пользователь 'bob' с наивысшим приоритетом - вытесняет 'alice' и всех > остальных > # (поднимает флаг для всех зон "забирая" у них соединения) > if ($is_bob = 1){ > set $is_alice 1; > set $is_default 1; > } > # пользователь 'alice' с меньшим приоритетом - вытесняет только всех > остальных > # (поднимает флаг для всех зон кроме user_bob т.к. приоритет у alice ниже) > if ($is_alice = 1){ > set $is_default 1; > } > > location = /test { > limit_req zone=user_bob; > limit_req zone=user_alice; > limit_req zone=default_limit; > ... > > } > ########## > > Под нагрузкой получается что-то похожее на одну [limit_req_zone > rate=1000r/s] для всех. Я вижу в отбитых соединениях и bob и alice, хотя > суммарная скорость соединений всех пользователей чуть более 1000 в секунду, > а суммарная скорость bob и alice 500 соединений в секунду, т.е. > блокироваться они не должны. > Так работать разумеется не будет. Указав в конфигурации set на переменную с таким же названием, как у переменной в map, вы просто переопределили ей обработчик с map на set. Соответственно map для этих переменных уже работать не будет. Но это не самая большая проблема. Вы пишете: "пользователь 'bob' с наивысшим приоритетом - вытесняет 'alice' и всех остальных (поднимает флаг для всех зон "забирая" у них соединения)". Это не так, подняв флаг у всех - означает, что он будет проверен на ограничение по всем зонам, т.е. эффект достигается ровно обратный. В таком виде, как вы сформулировали, задача модулем limit_req не решается в принципе, поскольку модуль в настоящий момент не умеет увеличивать счетчик без проверки при этом на лимит. -- Валентин Бартенев From vbart at nginx.com Thu Apr 10 22:39:01 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 11 Apr 2014 02:39:01 +0400 Subject: =?UTF-8?B?UmU6INCf0LXRgNC10L3QtdGB0YLQuCDQutGD0LrQuCDRgSDQtNC+0LzQtdC90LAg?= =?UTF-8?B?0L3QsCDQtNC+0LzQtdC9?= In-Reply-To: References: Message-ID: <3252122.iZpZgHZSdc@vbart-laptop> On Friday 11 April 2014 01:26:38 Илья Шипицин wrote: > допустим, что сессионная кука называется "session", тогда можно сделать так > > > server { > > server_name www.old.ru; > location / { > rewrite ^/(.*)$ http://www.new.ru/$1 permanent; > add_header Set-Cookie "session=$cookie_session;"; > } > } > > > > работать будет, но возникают вопросы. у вас кука выставляется > сессионная ? если нет, то, боюсь, нет механизмов, чтобы узнать ее > Expire. > ну или можно задать в add_header > > аналогично модификаторы httponly, secure, path, domain > Так работать разумеется не будет. Нельзя задавать куки для чужого домена, иначе это была бы большая дыра в безопасности. Да и add_header не работает для редиректов. Содержимое куки нужно передать как-то иначе, скажем в параметрах редиректа: server { server_name old.example.org; rewrite ^ http://new.example.org$uri?session=$session_cookie; } Второй способ - это передать через CORS. -- Валентин Бартенев From nginx-forum at nginx.us Fri Apr 11 00:03:10 2014 From: nginx-forum at nginx.us (softshape) Date: Thu, 10 Apr 2014 20:03:10 -0400 Subject: =?UTF-8?B?UmU6INCf0LXRgNC10L3QtdGB0YLQuCDQutGD0LrQuCDRgSDQtNC+0LzQtdC90LAg?= =?UTF-8?B?0L3QsCDQtNC+0LzQtdC9?= In-Reply-To: <3252122.iZpZgHZSdc@vbart-laptop> References: <3252122.iZpZgHZSdc@vbart-laptop> Message-ID: Хорошо, но запрос на new.ru отрабатывает этот же самый nginx. Как в нем можно "сконвертить" get-параметр session обратно в куку, причем удалив его из числа параметров ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249188,249212#msg-249212 From chipitsine at gmail.com Fri Apr 11 02:07:52 2014 From: chipitsine at gmail.com (=?KOI8-R?B?6czY0SD7ydDJw8nO?=) Date: Fri, 11 Apr 2014 08:07:52 +0600 Subject: =?UTF-8?B?UmU6INCf0LXRgNC10L3QtdGB0YLQuCDQutGD0LrQuCDRgSDQtNC+0LzQtdC90LAg?= =?UTF-8?B?0L3QsCDQtNC+0LzQtdC9?= In-Reply-To: <3252122.iZpZgHZSdc@vbart-laptop> References: <3252122.iZpZgHZSdc@vbart-laptop> Message-ID: так будет работать. в случае кодов 30X браузер выставляет куку на тот домен, который видит в Location да, при желании можно сбрасывать чужие авторизационные куки. читать их нельзя. насчет add_header для редиректов я действительно не учел, у нас стоит самодельный патч, который разрешает хедеры на любые коды. 11 апреля 2014 г., 4:39 пользователь Валентин Бартенев написал: > On Friday 11 April 2014 01:26:38 Илья Шипицин wrote: >> допустим, что сессионная кука называется "session", тогда можно сделать так >> >> >> server { >> >> server_name www.old.ru; >> location / { >> rewrite ^/(.*)$ http://www.new.ru/$1 permanent; >> add_header Set-Cookie "session=$cookie_session;"; >> } >> } >> >> >> >> работать будет, но возникают вопросы. у вас кука выставляется >> сессионная ? если нет, то, боюсь, нет механизмов, чтобы узнать ее >> Expire. >> ну или можно задать в add_header >> >> аналогично модификаторы httponly, secure, path, domain >> > > Так работать разумеется не будет. Нельзя задавать куки для > чужого домена, иначе это была бы большая дыра в безопасности. > > Да и add_header не работает для редиректов. > > Содержимое куки нужно передать как-то иначе, скажем в параметрах > редиректа: > > server { > server_name old.example.org; > rewrite ^ http://new.example.org$uri?session=$session_cookie; > } > > Второй способ - это передать через CORS. > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From postmaster at softsearch.ru Fri Apr 11 03:59:03 2014 From: postmaster at softsearch.ru (=?koi8-r?B?7cnIwcnMIO3PzsHbo9c=?=) Date: Fri, 11 Apr 2014 07:59:03 +0400 Subject: =?UTF-8?B?UmVbMl06INCf0LXRgNC10L3QtdGB0YLQuCDQutGD0LrQuCDRgSDQtNC+0LzQtdC9?= =?UTF-8?B?0LAg0L3QsCDQtNC+0LzQtdC9?= In-Reply-To: References: Message-ID: <343461288.20140411075903@softsearch.ru> Здравствуйте, Илья. Вы писали 10 апреля 2014 г., 23:26:38: > допустим, что сессионная кука называется "session", тогда можно сделать так > server { > server_name www.old.ru; > location / { > rewrite ^/(.*)$ http://www.new.ru/$1 permanent; > add_header Set-Cookie "session=$cookie_session;"; > } > } > работать будет не будет работать, ибо эта кука выставится на домен www.old.ru Надо на старом домне делать запросы к новому (например к прозрачной однопиксельной картинке) и в параметрах передавать значения нужных кук, а новом домене получать их из аргументов запроса и устанавливать. В паметры можно передать JS-ом задавать. -- С уважением, Михаил mailto:postmaster at softsearch.ru From chipitsine at gmail.com Fri Apr 11 04:52:15 2014 From: chipitsine at gmail.com (=?KOI8-R?B?6czY0SD7ydDJw8nO?=) Date: Fri, 11 Apr 2014 10:52:15 +0600 Subject: =?UTF-8?B?UmU6IFJlWzJdOiDQn9C10YDQtdC90LXRgdGC0Lgg0LrRg9C60Lgg0YEg0LTQvtC8?= =?UTF-8?B?0LXQvdCwINC90LAg0LTQvtC80LXQvQ==?= In-Reply-To: <343461288.20140411075903@softsearch.ru> References: <343461288.20140411075903@softsearch.ru> Message-ID: спорим, что будет ? 11 апреля 2014 г., 9:59 пользователь Михаил Монашёв написал: > Здравствуйте, Илья. > > Вы писали 10 апреля 2014 г., 23:26:38: > >> допустим, что сессионная кука называется "session", тогда можно сделать так > > >> server { > >> server_name www.old.ru; >> location / { >> rewrite ^/(.*)$ http://www.new.ru/$1 permanent; >> add_header Set-Cookie "session=$cookie_session;"; >> } >> } > > > >> работать будет > > не будет работать, ибо эта кука выставится на домен www.old.ru > > Надо на старом домне делать запросы к новому (например к прозрачной > однопиксельной картинке) и в параметрах передавать значения нужных > кук, а новом домене получать их из аргументов запроса и устанавливать. > > В паметры можно передать JS-ом задавать. > > -- > С уважением, > Михаил mailto:postmaster at softsearch.ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From vbart at nginx.com Fri Apr 11 05:36:42 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 11 Apr 2014 09:36:42 +0400 Subject: =?UTF-8?B?UmU6INCf0LXRgNC10L3QtdGB0YLQuCDQutGD0LrQuCDRgSDQtNC+0LzQtdC90LAg?= =?UTF-8?B?0L3QsCDQtNC+0LzQtdC9?= In-Reply-To: References: <3252122.iZpZgHZSdc@vbart-laptop> Message-ID: <1901745.j1vkMnpj1C@vbart-laptop> On Thursday 10 April 2014 20:03:10 softshape wrote: > Хорошо, но запрос на new.ru отрабатывает этот же самый nginx. Как в нем > можно "сконвертить" get-параметр session обратно в куку, причем удалив его > из числа параметров ? > Переместить обратно в куку можно очередным редиректом уже на новом домене при наличии параметра на URL без параметра и выдав при этом куку. Я бы решил эту задачу небольшим скриптом. -- Валентин Бартенев From nginx-forum at nginx.us Fri Apr 11 07:12:19 2014 From: nginx-forum at nginx.us (t4gs) Date: Fri, 11 Apr 2014 03:12:19 -0400 Subject: =?UTF-8?B?0L3QtdGA0LDQsdC+0YLQsNGO0YIgcmV3cml0ZQ==?= Message-ID: <49ff559f5c3807d727debbb895036414.NginxMailingListRussian@forum.nginx.org> Доброе время суток. После переезда на nginx/1.1.19 + php-fpm неработают правила rewrite. до этого был .htaccess следующего содержания : RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*bing.*$ [NC] RewriteCond %{HTTP_USER_AGENT} Chrome [NC] RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^(US|CA) [NC] RewriteCond %{HTTP:Accept-Language} (en|es) [NC] RewriteRule .* http://site/ [R,L] После конвертации получился следующий конфиг: server { # host IP and port listen 80; # domain name server_name site.com www.site.com; proxy_connect_timeout 600s; proxy_send_timeout 600s; proxy_read_timeout 600s; # home directory root /opt/WWWRoot/site; location / { charset utf-8; index index.php index.html; rewrite_log on; if ($http_referer ~* ".*google.*$"){ set $redir $1; break; } if ($http_referer ~* ".*bing.*$"){ set $redir $1; break; } if ($http_user_agent ~* "Chrome"){ set $redir $1; break; } if ($geoip_country_code ~* "(US|CA)"){ set $rule_0 1; break; } if ($http_accept_language ~* "(en|es)"){ set $redir $1; break; } if ($redir = $1){ rewrite /.* http://site2.com redirect; } try_files $uri $uri/ /index.php; } location ~ \.php$ { # for PHP-FPM over socket fastcgi_pass unix:/tmp/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; fastcgi_buffer_size 128k; fastcgi_buffers 256 4k; fastcgi_busy_buffers_size 256k; fastcgi_temp_file_write_size 256k; fastcgi_send_timeout 600s; fastcgi_read_timeout 600s; fastcgi_intercept_errors on; } } Помогите пожалуйста сделать нормальный рабочий конфиг. Заранее спасибо. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249217,249217#msg-249217 From nginx-forum at nginx.us Fri Apr 11 07:58:43 2014 From: nginx-forum at nginx.us (saVIor4815162342) Date: Fri, 11 Apr 2014 03:58:43 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> References: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> Message-ID: <5bacabf8d149cec307d13f7300cd11a1.NginxMailingListRussian@forum.nginx.org> Прошелся Wireshark`ом, оказывается, nginx не пропускает пакет с запросом HTTP 668 GET /PSIA/Custom/SelfExt/userCheck HTTP/1.1 - пакет, отвечающий за авторизацию. Как его "пропихнуть" через проксю, и с чем может быть связана такая проблема? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249054,249218#msg-249218 From vbart at nginx.com Fri Apr 11 08:07:08 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 11 Apr 2014 12:07:08 +0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <5bacabf8d149cec307d13f7300cd11a1.NginxMailingListRussian@forum.nginx.org> References: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> <5bacabf8d149cec307d13f7300cd11a1.NginxMailingListRussian@forum.nginx.org> Message-ID: <7435456.a1dx3zli4H@vbart-laptop> On Friday 11 April 2014 03:58:43 saVIor4815162342 wrote: > Прошелся Wireshark`ом, оказывается, nginx не пропускает пакет с запросом > HTTP 668 GET /PSIA/Custom/SelfExt/userCheck HTTP/1.1 - пакет, отвечающий за > авторизацию. Как его "пропихнуть" через проксю, и с чем может быть связана > такая проблема? > Этот запрос очевидно не попадает в ваш location /test/ с proxy_pass. -- Валентин Бартенев From nginx-forum at nginx.us Fri Apr 11 08:28:28 2014 From: nginx-forum at nginx.us (saVIor4815162342) Date: Fri, 11 Apr 2014 04:28:28 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <7435456.a1dx3zli4H@vbart-laptop> References: <7435456.a1dx3zli4H@vbart-laptop> Message-ID: Какой выход есть из данной ситуации? Какая команда поможет направить этот пакет по нужному пути? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249054,249220#msg-249220 From andrey at kopeyko.ru Fri Apr 11 10:23:31 2014 From: andrey at kopeyko.ru (Andrey Kopeyko) Date: Fri, 11 Apr 2014 14:23:31 +0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <5bacabf8d149cec307d13f7300cd11a1.NginxMailingListRussian@forum.nginx.org> References: <16b74dce054bb3abb5570956893e3e54.NginxMailingListRussian@forum.nginx.org> <5bacabf8d149cec307d13f7300cd11a1.NginxMailingListRussian@forum.nginx.org> Message-ID: <5347C2A3.5010408@kopeyko.ru> 11.04.2014 11:58, saVIor4815162342 пишет: > Прошелся Wireshark`ом, оказывается, nginx не пропускает пакет с запросом > HTTP 668 GET /PSIA/Custom/SelfExt/userCheck HTTP/1.1 - пакет, отвечающий за > авторизацию. Как его "пропихнуть" через проксю, Вам нужно и этот локейшен проксировать на ваш прибор: location /PSIA/ { proxy_pass http://10.100.0.2:88; } > и с чем может быть связана > такая проблема? Таков ваш прибор. Почаще смотрите и в логи, и в tcpdump - чую, открытий будет ещё немало... > -- Best regards, Andrey Kopeyko From nginx-forum at nginx.us Fri Apr 11 10:34:41 2014 From: nginx-forum at nginx.us (saVIor4815162342) Date: Fri, 11 Apr 2014 06:34:41 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80Ysg0YEg0LDQstGC0L7RgNC40LfQsNGG0LjQtdC5?= In-Reply-To: <5347C2A3.5010408@kopeyko.ru> References: <5347C2A3.5010408@kopeyko.ru> Message-ID: <47b6f9666f66260105a901537c9fa0f8.NginxMailingListRussian@forum.nginx.org> Огромное спасибо! Действительно, помогло! Тему можно считать закрытой =) Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249054,249223#msg-249223 From anatoly at sonru.com Fri Apr 11 13:02:40 2014 From: anatoly at sonru.com (Anatoly Mikhailov) Date: Fri, 11 Apr 2014 14:02:40 +0100 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: <20140410114750.GQ34696@mdounin.ru> References: <53456B6D.1090101@citrin.ru> <73F20FA5-7DA8-48A0-9F82-EC7A25E80754@sonru.com> <20140410114750.GQ34696@mdounin.ru> Message-ID: <444ACDF7-A78F-482F-A3D1-44BAC10EF3B3@sonru.com> On 10 Apr 2014, at 12:47, Maxim Dounin wrote: > Hello! > > On Thu, Apr 10, 2014 at 07:24:22AM +0100, Anatoly Mikhailov wrote: > >> на данный момент меня интересует только необходимость заказа новых ключей, >> я правильно понимаю, при включенном forward secrecy приватные ключи утечь не могли? > > Нет, вероятность утекания приватных ключей от включённости forward > secrecy никак не зависит. > > Отдельный вопрос - какова эта самая вероятность. ребята из CloudFlare решили проверить эту вероятность экспериментальным путем https://www.cloudflarechallenge.com/heartbleed > >> >> Анатолий >> >> On 10 Apr 2014, at 05:26, Илья Шипицин wrote: >> >>> при включенном forward secrecy наличия закрытого ключа (у злоумышленника) недостаточно для расшифровки потока. от атаки на память сервера это не защищает >>> >>> четверг, 10 апреля 2014 г. пользователь Anatoly Mikhailov написал: >>> Если SSL ciphers оставались стандартные (ssl_ciphers: дефолтное значение) на Nginx 1.3.14, >>> то Forward Secrecy был включен. Вопрос: надо ли генерить CSR и заказывать новые SSL ключи >>> или Forward Secrecy помог избежать полной утечки приватных ключей? >>> >>> Анатолий >>> >>> >>> On 09 Apr 2014, at 16:46, Anton Yuzhaninov wrote: >>> >>>> On 04/09/14 13:41, Vladislav Shabanov wrote: >>>>> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог >>>>> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? >>>> >>>> Если очень хочется знать о безуспешных аттаках, то лучше использовать что то типа SNORT. И про heartbleed он должен знать. >>>> >>>> _______________________________________________ >>>> nginx-ru mailing list >>>> nginx-ru at nginx.org >>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru at nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru at nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru at nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From mdounin at mdounin.ru Fri Apr 11 13:59:55 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Fri, 11 Apr 2014 17:59:55 +0400 Subject: =?UTF-8?B?UmU6INC/0LXRgNC10LzQtdC90L3Ri9C5IGxpbWl0IHJlcSB6b25lINGBINC/0YA=?= =?UTF-8?B?0LjQvtGA0LjRgtC10YLQsNC80Lg=?= In-Reply-To: <4173540.9sNmboS6eX@vbart-laptop> References: <4173540.9sNmboS6eX@vbart-laptop> Message-ID: <20140411135955.GM34696@mdounin.ru> Hello! On Fri, Apr 11, 2014 at 02:04:24AM +0400, Валентин Бартенев wrote: > On Thursday 10 April 2014 16:55:00 cat wrote: > > Приветствую. Развивая эту недавнюю тему > > http://forum.nginx.org/read.php?21,237662 хочу немного доработать логику. > > Вместо раздачи каждому пользователю определённого ограничения сделать общее > > ограничение и раздать пользователям приоритеты. Итак: > > > > Пусть есть простой запрос: > > > > http://127.0.0.1/api?username=testuser > > > > Допустим, сервер способен выдержать не более 1000 соединений в секунду, > > остальные будут отбиваться. > > Эти самые 1000 разрешенных соединений распределяются между обычными > > пользователи и несколькими "избранными" с учётом приоритета. Т.е. если > > пользователь с высоким приоритетом занял всё ограничение - остальные ничего > > не получат. Как только он перестал слать запросы или уменьшил скорость > > соединений, освободившееся место занял мользователь с приоритетом меньше. > > > > Вот примерный конфиг как это (теоретически) должно было работать: > > > > #################################### > > map $arg_username $is_default { > > default 1; > > bob ""; > > alice ""; > > } > > > > map $arg_username $is_bob {bob 1;} > > map $arg_username $is_alice {alice 1;} > > > > # у всех пользователей одинаковый (как бы 'глобальный') rate=1000r/s > > limit_req_zone $is_bob zone=user_bob:32k rate=1000r/s; > > limit_req_zone $is_alice zone=user_alice:32k rate=1000r/s; > > limit_req_zone $is_default zone=default_limit:32k rate=1000r/s; > > > > > > # пользователь 'bob' с наивысшим приоритетом - вытесняет 'alice' и всех > > остальных > > # (поднимает флаг для всех зон "забирая" у них соединения) > > if ($is_bob = 1){ > > set $is_alice 1; > > set $is_default 1; > > } > > # пользователь 'alice' с меньшим приоритетом - вытесняет только всех > > остальных > > # (поднимает флаг для всех зон кроме user_bob т.к. приоритет у alice ниже) > > if ($is_alice = 1){ > > set $is_default 1; > > } > > > > location = /test { > > limit_req zone=user_bob; > > limit_req zone=user_alice; > > limit_req zone=default_limit; > > ... > > > > } > > ########## > > > > Под нагрузкой получается что-то похожее на одну [limit_req_zone > > rate=1000r/s] для всех. Я вижу в отбитых соединениях и bob и alice, хотя > > суммарная скорость соединений всех пользователей чуть более 1000 в секунду, > > а суммарная скорость bob и alice 500 соединений в секунду, т.е. > > блокироваться они не должны. > > > > Так работать разумеется не будет. > > Указав в конфигурации set на переменную с таким же названием, > как у переменной в map, вы просто переопределили ей обработчик > с map на set. Соответственно map для этих переменных уже > работать не будет. > > Но это не самая большая проблема. > > Вы пишете: "пользователь 'bob' с наивысшим приоритетом - вытесняет > 'alice' и всех остальных (поднимает флаг для всех зон "забирая" у > них соединения)". > > Это не так, подняв флаг у всех - означает, что он будет проверен > на ограничение по всем зонам, т.е. эффект достигается ровно обратный. > > В таком виде, как вы сформулировали, задача модулем limit_req не > решается в принципе, поскольку модуль в настоящий момент не умеет > увеличивать счетчик без проверки при этом на лимит. Можно попытаться поиграть в несколько location'ов для разных пользователей, в которых поставить limit_req с разными burst'ам: location /normal/users/here { limit_req one burst=10 nodelay; ... } location /privileged/users/here { limit_req one burst=20 nodelay; ... } Тогда при выбирании ограничений привилегированными пользователями - обычных перестанет пускать. С точки зрения конфигурирования, впрочем, это то ещё развлечение. -- Maxim Dounin http://nginx.org/ From vbart at nginx.com Fri Apr 11 14:37:40 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 11 Apr 2014 18:37:40 +0400 Subject: =?UTF-8?B?UmU6INCy0L7Qv9GA0L7RgSDQv9GA0L4gaGVhcnRibGVlZA==?= In-Reply-To: <444ACDF7-A78F-482F-A3D1-44BAC10EF3B3@sonru.com> References: <20140410114750.GQ34696@mdounin.ru> <444ACDF7-A78F-482F-A3D1-44BAC10EF3B3@sonru.com> Message-ID: <5102890.gJ5Jxy2AGK@vbart-laptop> On Friday 11 April 2014 14:02:40 Anatoly Mikhailov wrote: > > On 10 Apr 2014, at 12:47, Maxim Dounin wrote: > > > Hello! > > > > On Thu, Apr 10, 2014 at 07:24:22AM +0100, Anatoly Mikhailov wrote: > > > >> на данный момент меня интересует только необходимость заказа новых ключей, > >> я правильно понимаю, при включенном forward secrecy приватные ключи утечь не могли? > > > > Нет, вероятность утекания приватных ключей от включённости forward > > secrecy никак не зависит. > > > > Отдельный вопрос - какова эта самая вероятность. > > ребята из CloudFlare решили проверить эту вероятность экспериментальным путем > https://www.cloudflarechallenge.com/heartbleed > Правильная ссылка: http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed -- Валентин Бартенев From nginx-forum at nginx.us Fri Apr 11 20:28:17 2014 From: nginx-forum at nginx.us (cat) Date: Fri, 11 Apr 2014 16:28:17 -0400 Subject: =?UTF-8?B?UmU6INC/0LXRgNC10LzQtdC90L3Ri9C5IGxpbWl0IHJlcSB6b25lINGBINC/0YA=?= =?UTF-8?B?0LjQvtGA0LjRgtC10YLQsNC80Lg=?= In-Reply-To: <20140411135955.GM34696@mdounin.ru> References: <20140411135955.GM34696@mdounin.ru> Message-ID: Благодарю за ответы. >Можно попытаться поиграть в несколько location'ов для разных >пользователей, в которых поставить limit_req с разными burst'ам: >location /normal/users/here { >limit_req one burst=10 nodelay; >... >} >location /privileged/users/here { >limit_req one burst=20 nodelay; >... >} >Тогда при выбирании ограничений привилегированными пользователями >- обычных перестанет пускать. Нестандартно. Обязательно попробую под нагрузкой. >С точки зрения конфигурирования, впрочем, это то ещё развлечение. Ничего страшного. Мне главное, чтобы работало. Всё равно конфигурированием, скорее всего, будет заниматься специально обученный скрипт. Так что, если вдруг у Вас есть в запасе алтернативные методы реализации, я бы взглянул. Кстати, ещё в наличии имеется lua/luajit модуль. Вероятно, он будет полезен. Пока я не увидел это решение с burst, собирался разбираться в lua. Вроде бы, там уже есть таймеры. Можно попытаться реализовать leaky bucket логику. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249202,249236#msg-249236 From nginx-forum at nginx.us Mon Apr 14 12:24:51 2014 From: nginx-forum at nginx.us (saVIor4815162342) Date: Mon, 14 Apr 2014 08:24:51 -0400 Subject: =?UTF-8?B?0J/QvtGC0L7QutC+0LLQvtC1INCy0LXRidCw0L3QuNC1IFJUU1A=?= Message-ID: Доброго времени суток! Пытаюсь организовать удаленный доступ к web-интерфейсу видеорегистратора с помощью реверс-прокси nginx`а, при этом возникли трудности с отображением потокового видео, передаваемого по протоколу RTSP. В ответ на запрос потока выдает ошибку "Отображение невозможно". Пакеты, перехваченные Wireshark`ом при корректном воспроизведении видеопотока (без прокси): 10.100.0.5 10.100.0.2 TCP 66 50771 > rtsp [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 10.100.0.5 10.100.0.2 TCP 54 50771 > rtsp [ACK] Seq=1 Ack=1 Win=65536 Len=0 10.100.0.5 10.100.0.2 TCP 54 [TCP Window Update] 50771 > rtsp [ACK] Seq=1 Ack=1 Win=524288 Len=0 10.100.0.5 10.100.0.2 RTSP 231 DESCRIBE rtsp://10.100.0.2:554/PSIA/streaming/channels/201 RTSP/1.0 10.100.0.5 10.100.0.2 RTSP 268 SETUP rtsp://10.100.0.2:554/PSIA/streaming/channels/201/trackID=1 RTSP/1.0 10.100.0.5 10.100.0.2 RTSP 253 PLAY rtsp://10.100.0.2:554/PSIA/streaming/channels/201 RTSP/1.0 10.100.0.5 10.100.0.2 TCP 66 50772 > http [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 10.100.0.5 10.100.0.2 TCP 54 50772 > http [ACK] Seq=1 Ack=1 Win=65536 Len=0 10.100.0.5 10.100.0.2 HTTP 740 GET /PSIA/System/Video/inputs/channels/2/capabilities HTTP/1.1 10.100.0.5 10.100.0.2 TCP 54 50772 > http [ACK] Seq=687 Ack=867 Win=64768 Len=0 10.100.0.5 10.100.0.2 TCP 54 50772 > http [FIN, ACK] Seq=687 Ack=867 Win=64768 Len=0 10.100.0.5 10.100.0.2 TCP 54 50771 > rtsp [ACK] Seq=591 Ack=893 Win=523264 Len=0 //далее те же пакеты - непосредственно вещание видеопотока 10.100.0.2 - регистратор, 10.100.0.5 - локальный ПК Пакеты, перехваченные Wireshark`ом при работе через прокси: 10.100.0.5 185.44.хх.хх TCP 66 50853 > rtsp [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 185.44.хх.хх 10.100.0.5 TCP 60 rtsp > 50853 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0 10.100.0.5 185.44.хх.хх TCP 66 [TCP Retransmission] 50853 > rtsp [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 185.44.хх.хх 10.100.0.5 TCP 60 rtsp > 50853 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0 10.100.0.5 185.44.хх.хх TCP 62 [TCP Retransmission] 50853 > rtsp [SYN] Seq=0 Win=8192 Len=0 MSS=1460 SACK_PERM=1 10.100.0.1 10.100.0.5 ICMP 90 Redirect (Redirect for host) 185.44.хх.хх 10.100.0.5 TCP 60 rtsp > 50853 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0 10.100.0.5 - тот же локальный ПК, 10.100.0.1 - шлюз, 185.44.хх.хх - белый ip сервера с nginx. Как я понимаю, nginx просто не пропускает rtsp пакеты. Существует ли схема передачи rtsp-запросов в одну сторону и видеопотока в другую через nginx? З.Ы. Судя по всему, преобразование rtsp в rtmp (nginx-rtmp-module) не подойдет для данной ситуации, т.к. веб-страница выполняет запрос именно по rtsp. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249275,249275#msg-249275 From n.g.i.n.x.e.r at gmail.com Mon Apr 14 14:50:45 2014 From: n.g.i.n.x.e.r at gmail.com (=?UTF-8?B?0KDQvtC80LDQvQ==?=) Date: Mon, 14 Apr 2014 18:50:45 +0400 Subject: =?UTF-8?B?0LLRi9C/0L7Qu9C90LXQvdC40LUg0YTQsNC50LvQvtCyINC90LAg0YPQtNCw0Ls=?= =?UTF-8?B?0LXQvdC90L7QvCDRgdC10LLRgNC10YDQtQ==?= Message-ID: есть два сервачка на одном только nginx -------------- next part -------------- An HTML attachment was scrubbed... URL: From n.g.i.n.x.e.r at gmail.com Mon Apr 14 14:55:54 2014 From: n.g.i.n.x.e.r at gmail.com (=?UTF-8?B?0KDQvtC80LDQvQ==?=) Date: Mon, 14 Apr 2014 18:55:54 +0400 Subject: =?UTF-8?B?0JLRi9C/0L7Qu9C90LXQvdC40LUg0YTQsNC50LvQvtCyINC90LAg0YPQtNCw0Ls=?= =?UTF-8?B?0LXQvdC90L7QvCDRgdC10LLRgNC10YDQtQ==?= Message-ID: Есть два сервачка На одном только nginx, на другом php-fpm написал такой конфиг server { listen ... server_name ... set $userRoot ... location ~\.php$ { root $userRoot; fastcgi_pass ... fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } } по идее nginx должен проксировать запросы на другой сервер, а он почему то ищет файлы локально. Подскажите где ошибка -------------- next part -------------- An HTML attachment was scrubbed... URL: From dmitry.goryainov at gmail.com Mon Apr 14 15:01:28 2014 From: dmitry.goryainov at gmail.com (Dmitry) Date: Mon, 14 Apr 2014 19:01:28 +0400 Subject: =?UTF-8?B?UmU6INCS0YvQv9C+0LvQvdC10L3QuNC1INGE0LDQudC70L7QsiDQvdCwINGD0LQ=?= =?UTF-8?B?0LDQu9C10L3QvdC+0Lwg0YHQtdCy0YDQtdGA0LU=?= In-Reply-To: References: Message-ID: А из чего видно что nginx должен проксировать? По многоточиям не очевидно 14.04.2014 18:56 пользователь "Роман" написал: > Есть два сервачка > На одном только nginx, на другом php-fpm > > написал такой конфиг > server { > listen ... > server_name ... > > set $userRoot ... > > location ~\.php$ { > root $userRoot; > > fastcgi_pass ... > fastcgi_index index.php; > fastcgi_param SCRIPT_FILENAME > $document_root$fastcgi_script_name; > include fastcgi_params; > } > } > > по идее nginx должен проксировать запросы на другой сервер, а он почему > то ищет файлы локально. > > Подскажите где ошибка > > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From n.g.i.n.x.e.r at gmail.com Mon Apr 14 15:38:57 2014 From: n.g.i.n.x.e.r at gmail.com (=?UTF-8?B?0KDQvtC80LDQvQ==?=) Date: Mon, 14 Apr 2014 19:38:57 +0400 Subject: =?UTF-8?B?UmU6INCS0YvQv9C+0LvQvdC10L3QuNC1INGE0LDQudC70L7QsiDQvdCwINGD0LQ=?= =?UTF-8?B?0LDQu9C10L3QvdC+0Lwg0YHQtdCy0YDQtdGA0LU=?= In-Reply-To: References: Message-ID: В fastcgi_pass, указан линк на upstream 14 апреля 2014 г., 19:01 пользователь Dmitry написал: > А из чего видно что nginx должен проксировать? По многоточиям не очевидно > 14.04.2014 18:56 пользователь "Роман" написал: > >> Есть два сервачка >> На одном только nginx, на другом php-fpm >> >> написал такой конфиг >> server { >> listen ... >> server_name ... >> >> set $userRoot ... >> >> location ~\.php$ { >> root $userRoot; >> >> fastcgi_pass ... >> fastcgi_index index.php; >> fastcgi_param SCRIPT_FILENAME >> $document_root$fastcgi_script_name; >> include fastcgi_params; >> } >> } >> >> по идее nginx должен проксировать запросы на другой сервер, а он почему >> то ищет файлы локально. >> >> Подскажите где ошибка >> >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru at nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From dmitry.goryainov at gmail.com Mon Apr 14 15:43:29 2014 From: dmitry.goryainov at gmail.com (Dmitry) Date: Mon, 14 Apr 2014 19:43:29 +0400 Subject: =?UTF-8?B?UmU6INCS0YvQv9C+0LvQvdC10L3QuNC1INGE0LDQudC70L7QsiDQvdCwINGD0LQ=?= =?UTF-8?B?0LDQu9C10L3QvdC+0Lwg0YHQtdCy0YDQtdGA0LU=?= In-Reply-To: References: Message-ID: Я не телнпат. Плохо видно. А root для чего? 14.04.2014 19:39 пользователь "Роман" написал: > В fastcgi_pass, указан линк на upstream > > > 14 апреля 2014 г., 19:01 пользователь Dmitry написал: > >> А из чего видно что nginx должен проксировать? По многоточиям не очевидно >> 14.04.2014 18:56 пользователь "Роман" написал: >> >>> Есть два сервачка >>> На одном только nginx, на другом php-fpm >>> >>> написал такой конфиг >>> server { >>> listen ... >>> server_name ... >>> >>> set $userRoot ... >>> >>> location ~\.php$ { >>> root $userRoot; >>> >>> fastcgi_pass ... >>> fastcgi_index index.php; >>> fastcgi_param SCRIPT_FILENAME >>> $document_root$fastcgi_script_name; >>> include fastcgi_params; >>> } >>> } >>> >>> по идее nginx должен проксировать запросы на другой сервер, а он почему >>> то ищет файлы локально. >>> >>> Подскажите где ошибка >>> >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru at nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru at nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From n.g.i.n.x.e.r at gmail.com Mon Apr 14 15:56:06 2014 From: n.g.i.n.x.e.r at gmail.com (=?UTF-8?B?0KDQvtC80LDQvQ==?=) Date: Mon, 14 Apr 2014 19:56:06 +0400 Subject: =?UTF-8?B?UmU6INCS0YvQv9C+0LvQvdC10L3QuNC1INGE0LDQudC70L7QsiDQvdCwINGD0LQ=?= =?UTF-8?B?0LDQu9C10L3QvdC+0Lwg0YHQtdCy0YDQtdGA0LU=?= In-Reply-To: References: Message-ID: fastcgi_pass srv2; ссылается на upstream srv2 { server 192.168.0.2:9000 max_fails=1 fail_timeout=2s; } рута добавил, т.к. думал, что может быть, он его ищет. 14 апреля 2014 г., 19:43 пользователь Dmitry написал: > Я не телнпат. Плохо видно. А root для чего? > 14.04.2014 19:39 пользователь "Роман" написал: > > В fastcgi_pass, указан линк на upstream >> >> >> 14 апреля 2014 г., 19:01 пользователь Dmitry написал: >> >>> А из чего видно что nginx должен проксировать? По многоточиям не очевидно >>> 14.04.2014 18:56 пользователь "Роман" >>> написал: >>> >>>> Есть два сервачка >>>> На одном только nginx, на другом php-fpm >>>> >>>> написал такой конфиг >>>> server { >>>> listen ... >>>> server_name ... >>>> >>>> set $userRoot ... >>>> >>>> location ~\.php$ { >>>> root $userRoot; >>>> >>>> fastcgi_pass ... >>>> fastcgi_index index.php; >>>> fastcgi_param SCRIPT_FILENAME >>>> $document_root$fastcgi_script_name; >>>> include fastcgi_params; >>>> } >>>> } >>>> >>>> по идее nginx должен проксировать запросы на другой сервер, а он >>>> почему то ищет файлы локально. >>>> >>>> Подскажите где ошибка >>>> >>>> >>>> _______________________________________________ >>>> nginx-ru mailing list >>>> nginx-ru at nginx.org >>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>>> >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru at nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >> >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru at nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From boris at talovikov.ru Thu Apr 17 02:50:53 2014 From: boris at talovikov.ru (Boris Talovikov) Date: Thu, 17 Apr 2014 08:50:53 +0600 Subject: =?UTF-8?B?UmU6INCS0YvQv9C+0LvQvdC10L3QuNC1INGE0LDQudC70L7QsiDQvdCwINGD0LQ=?= =?UTF-8?B?0LDQu9C10L3QvdC+0Lwg0YHQtdCy0YDQtdGA0LU=?= In-Reply-To: References: Message-ID: <1560281397703053@web26m.yandex.ru> An HTML attachment was scrubbed... URL: From vbart at nginx.com Thu Apr 17 09:11:33 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Thu, 17 Apr 2014 13:11:33 +0400 Subject: =?UTF-8?B?UmU6INCS0YvQv9C+0LvQvdC10L3QuNC1INGE0LDQudC70L7QsiDQvdCwINGD0LQ=?= =?UTF-8?B?0LDQu9C10L3QvdC+0Lwg0YHQtdCy0YDQtdGA0LU=?= In-Reply-To: <1560281397703053@web26m.yandex.ru> References: <1560281397703053@web26m.yandex.ru> Message-ID: <1868922.xr37BQBgef@vbart-laptop> On Thursday 17 April 2014 08:50:53 Boris Talovikov wrote: [..] > Хотите проксировать - используйте proxy_pass. > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html > Вы, видимо, не совсем понимаете как работает fastcgi. > У человека php-fpm, какой proxy_pass? (proxy/fastcgi/scgi/uwsgi)_pass - работают примерно аналогично, разница лишь в протоколе. Проблема скорее всего в том, что от нас скрывают настоящую конфигурацию, в которой желаемый запрос обрабатывается совсем в другом location, без fastcgi_pass. -- Валентин Бартенев From nginx-forum at nginx.us Mon Apr 21 13:46:08 2014 From: nginx-forum at nginx.us (saaleb) Date: Mon, 21 Apr 2014 09:46:08 -0400 Subject: =?UTF-8?B?0LzQvtC00YPQu9GMIG5naW54INC00LvRjyDRgNCw0LHQvtGC0Ysg0YEg0LHQu9C+?= =?UTF-8?B?0LrQuNGA0YPRjtGJ0LXQuSDQvtC/0LXRgNCw0YbQuNC10Lk=?= Message-ID: <612e9090eaba794095915275133671e2.NginxMailingListRussian@forum.nginx.org> Здравствуйте. У меня есть необходимость в создании модуля nginx следующего плана: 1. Получение запроса HTTP 2. Разбор этого запроса 3. Упаковка в спец. формат 3. Подключение к удаленному серверу - блокирующая операция 4. Отправка запроса - блокирующая операция 5. Ожидание ответа - блокирующая операция 6. Распаковка 7. Отправка ответа. Я сделал модуль через handler, но похоже это не самый лучший вариант - веб-сервер на время блокирующих операций перестает обрабатывать остальные соединения и принимать новые. Как я понял, в данном случае нужно использовать upstream-тип модуля. Верно ли мое предположение? Есть ли возможность в upstream модуле получать уже распарсенные HTTP значения заголовков? Есть ли несложные для понимания примеры таких модулей? Буду благодарен за любую информацию Спасибо! Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249424,249424#msg-249424 From mdounin at mdounin.ru Mon Apr 21 14:19:00 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Mon, 21 Apr 2014 18:19:00 +0400 Subject: =?UTF-8?B?UmU6INC80L7QtNGD0LvRjCBuZ2lueCDQtNC70Y8g0YDQsNCx0L7RgtGLINGBINCx?= =?UTF-8?B?0LvQvtC60LjRgNGD0Y7RidC10Lkg0L7Qv9C10YDQsNGG0LjQtdC5?= In-Reply-To: <612e9090eaba794095915275133671e2.NginxMailingListRussian@forum.nginx.org> References: <612e9090eaba794095915275133671e2.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140421141900.GF34696@mdounin.ru> Hello! On Mon, Apr 21, 2014 at 09:46:08AM -0400, saaleb wrote: > Здравствуйте. > > У меня есть необходимость в создании модуля nginx следующего плана: > > 1. Получение запроса HTTP > 2. Разбор этого запроса > 3. Упаковка в спец. формат > 3. Подключение к удаленному серверу - блокирующая операция > 4. Отправка запроса - блокирующая операция > 5. Ожидание ответа - блокирующая операция > 6. Распаковка > 7. Отправка ответа. > > Я сделал модуль через handler, но похоже это не самый лучший вариант - > веб-сервер на время блокирующих операций перестает обрабатывать остальные > соединения и принимать новые. Как я понял, в данном случае нужно > использовать upstream-тип модуля. > Верно ли мое предположение? > Есть ли возможность в upstream модуле получать уже распарсенные HTTP > значения заголовков? > Есть ли несложные для понимания примеры таких модулей? Примеры модулей - proxy, fastcgi, scgi, uwsgi, memcached. Наиболее простой из всех вышеперечисленных - memcached, на него и имеет смысл смотреть в первую очередь. Кроме того, пример реализации протокола для upstream с пояснениями был у Evan'а Miller'а, ссылки есть тут: http://nginx.org/en/links.html -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Wed Apr 23 09:13:55 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 05:13:55 -0400 Subject: =?UTF-8?B?0L3QtSDQtNC10YDQttC40YIg0YHQtdGB0YHQuNGO?= Message-ID: <9aa417f6c748551512d023d9137c6f8f.NginxMailingListRussian@forum.nginx.org> форум xenforo nginx+apache на апаче нормально все авторизует и держит сессию залогиненой , на nginxe постоянно разлогинивает вот конфиг #user nobody; worker_processes 2; events { worker_connections 101; } http { include mime.types; default_type application/octet-stream; client_header_timeout 3m; client_body_timeout 3m; send_timeout 3m; client_header_buffer_size 1k; large_client_header_buffers 4 4k; sendfile on; tcp_nopush on; tcp_nodelay on; #send_lowat 12000; keepalive_timeout 900; server_tokens off; gzip on; gzip_min_length 1100; gzip_buffers 4 8k; gzip_types text/plain text/xml application/xml application/x-javascript text/javascript text/css text/json; gzip_http_version 1.0; gzip_comp_level 4; #lingering_time 30; #lingering_timeout 10; #reset_timedout_connection on; server { listen 80; server_name localhost; location / { proxy_pass http://localhost:8080/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; client_max_body_size 10m; client_body_buffer_size 128k; client_body_temp_path client_body_temp; proxy_connect_timeout 120; proxy_send_timeout 120; proxy_read_timeout 180; #proxy_send_lowat 12000; proxy_buffer_size 4k; proxy_buffers 4 32k; proxy_busy_buffers_size 64k; proxy_temp_file_write_size 64k; proxy_temp_path proxy_temp; charset utf-8; } location ~* \.(?:jpg|jpeg|gif|png|ico|gz|svg|svgz|mp4|ogg|ogv|webm|htc|ttf|ttc|otf|eot|woff|w3g|font.css)$ { expires 30d; access_log off; add_header Cache-Control public; root C:\APPServ\htdocs; } } } Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249465#msg-249465 From nginx-forum at nginx.us Wed Apr 23 09:33:24 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 05:33:24 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <9aa417f6c748551512d023d9137c6f8f.NginxMailingListRussian@forum.nginx.org> References: <9aa417f6c748551512d023d9137c6f8f.NginxMailingListRussian@forum.nginx.org> Message-ID: добавил в конфиг proxy_cache_path C:\NGINX\cache levels=1:2 keys_zone=cache:30m max_size=1G; proxy_temp_path C:\NGINX\proxy_temp 1 2; proxy_ignore_headers Expires Cache-Control; proxy_cache_use_stale error timeout invalid_header http_502; proxy_cache_bypass $cookie_session; proxy_no_cache $cookie_session; proxy_cache cache; proxy_cache_valid 10m; proxy_cache_valid 404 1m; но это тоже не помогает , сессия рвется через 1-5 секунд и просит заного ввести пароли и тптд если заходить с апача без nginx то все работает нормально Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249466#msg-249466 From mdounin at mdounin.ru Wed Apr 23 10:41:12 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 23 Apr 2014 14:41:12 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <9aa417f6c748551512d023d9137c6f8f.NginxMailingListRussian@forum.nginx.org> References: <9aa417f6c748551512d023d9137c6f8f.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140423104112.GC34696@mdounin.ru> Hello! On Wed, Apr 23, 2014 at 05:13:55AM -0400, horsement wrote: > форум xenforo > nginx+apache > на апаче нормально все авторизует и держит сессию залогиненой , на nginxe > постоянно разлогинивает Нужно смотреть в код форума, и разбираться, почему разлогинивает. Подозреваю, что скорее всего проблема кроется где-то в районе ip-адреса клиента (который в случае Apache правильный, а в случае проксирования через nginx - 127.0.0.1, т.к. mod_realip/mod_rpaf или аналоги в Apache скорее всего не установлены/не настроены). Но это лишь догадки, наш штатный телепат в отпуске. ;) -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Wed Apr 23 10:53:09 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 06:53:09 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <20140423104112.GC34696@mdounin.ru> References: <20140423104112.GC34696@mdounin.ru> Message-ID: так что надо сделать? настроить mod_realip/mod_rpaf в nginxe ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249469#msg-249469 From nginx-forum at nginx.us Wed Apr 23 10:56:01 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 06:56:01 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <20140423104112.GC34696@mdounin.ru> References: <20140423104112.GC34696@mdounin.ru> Message-ID: <3a0ea7b8059ef94424be444d07ce4437.NginxMailingListRussian@forum.nginx.org> просто если на сайт идти через апач напрямую , сайт:8080 то все нормально логинится и держит сессию, значит дело в nginxe ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249470#msg-249470 From mdounin at mdounin.ru Wed Apr 23 10:56:23 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 23 Apr 2014 14:56:23 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: References: <20140423104112.GC34696@mdounin.ru> Message-ID: <20140423105623.GE34696@mdounin.ru> Hello! On Wed, Apr 23, 2014 at 06:53:09AM -0400, horsement wrote: > так что надо сделать? настроить mod_realip/mod_rpaf в nginxe ? Настроить mod_realip/mod_rpaf в nginx'е - невозможно, это модули для Apache. А что сделать - написано в первом же предложении ответа: смотреть в код форума, и разбираться, почему разлогинивает. -- Maxim Dounin http://nginx.org/ From onokonem at gmail.com Wed Apr 23 11:01:37 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Wed, 23 Apr 2014 15:01:37 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <3a0ea7b8059ef94424be444d07ce4437.NginxMailingListRussian@forum.nginx.org> References: <20140423104112.GC34696@mdounin.ru> <3a0ea7b8059ef94424be444d07ce4437.NginxMailingListRussian@forum.nginx.org> Message-ID: > логинится и держит сессию, значит дело в nginxe ? дело в вашей настройке проксирования. From nginx-forum at nginx.us Wed Apr 23 11:02:32 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 07:02:32 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <20140423105623.GE34696@mdounin.ru> References: <20140423105623.GE34696@mdounin.ru> Message-ID: <1cdc0de31069b0ef93fbcaaf9601cc27.NginxMailingListRussian@forum.nginx.org> да тут 100% не в коде форума тк до этого я также настраивал nginx+apach и все успешно работало , но такой конфиг рабочий nginxa не сохранился , я пытался настроить nginx чтобы он и только он один работал без апача , у меня это не вышло и конфиг старый зтерся , пришлось заного гуглить и собирать конфиг который в 1ом посте , но с ним НЕ работает сессия , так что я уверен тут дело долеко не в коде форума Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249473#msg-249473 From nginx-forum at nginx.us Wed Apr 23 11:03:44 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 07:03:44 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: References: Message-ID: <0358c97cf30f5446bba5fb66a7ea8c8c.NginxMailingListRussian@forum.nginx.org> я правильно вас понял ,вы говорите в конфиге nginxa ? я тоже так думаю , но не знаю куда копать что там не так , можете помочь ткнуть в строку в конфиге изза чего так происходит? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249474#msg-249474 From nginx-forum at nginx.us Wed Apr 23 12:19:36 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 08:19:36 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: References: Message-ID: <736ab3d6dff798a50f58e7f3423a43c3.NginxMailingListRussian@forum.nginx.org> Даниил помогите пожалуйста , вся надежда на вас Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249476#msg-249476 From onokonem at gmail.com Wed Apr 23 12:24:51 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Wed, 23 Apr 2014 16:24:51 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <736ab3d6dff798a50f58e7f3423a43c3.NginxMailingListRussian@forum.nginx.org> References: <736ab3d6dff798a50f58e7f3423a43c3.NginxMailingListRussian@forum.nginx.org> Message-ID: 2014-04-23 16:19 GMT+04:00 horsement : > Даниил помогите пожалуйста , вся надежда на вас Это вряд ли. какой у вас апач? настроен ли mod_realip на нем? From laa at laa.zp.ua Wed Apr 23 13:01:56 2014 From: laa at laa.zp.ua (Lystopad Aleksandr) Date: Wed, 23 Apr 2014 17:01:56 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <0358c97cf30f5446bba5fb66a7ea8c8c.NginxMailingListRussian@forum.nginx.org> References: <0358c97cf30f5446bba5fb66a7ea8c8c.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140423130156.GH2561@laa.zp.ua> Hello, horsement! On Wed, Apr 23, 2014 at 07:03:44AM -0400 nginx-forum at nginx.us wrote about "Re: не держит сессию": > я правильно вас понял ,вы говорите в конфиге nginxa ? я тоже так думаю , но > не знаю куда копать что там не так , можете помочь ткнуть в строку в конфиге > изза чего так происходит? Вам Максим четко намекнул что может быть. И я склонен его поддержать. Поставьте mod_rpaf к вашему апачу. Скорее всего этого модуля у вас нет и ваш апач все проксированные от nginx запросы видит как с remote_addr=127.0.0.1. -- Lystopad Aleksandr From nginx-forum at nginx.us Wed Apr 23 15:35:03 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 11:35:03 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <20140423130156.GH2561@laa.zp.ua> References: <20140423130156.GH2561@laa.zp.ua> Message-ID: скажите тогда как настроить nginx или что поправить в моем конфиге в 1ом посте чтобы nginx работал без апача полноценно ? nginx у меня находится в C:\NGINX Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249484#msg-249484 From onokonem at gmail.com Wed Apr 23 15:52:47 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Wed, 23 Apr 2014 19:52:47 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: References: <20140423130156.GH2561@laa.zp.ua> Message-ID: > чтобы nginx работал без апача полноценно ? не бывает. что-то - хоть апач, хоть fastcgi должно выполнять код вашего форума. From alex.hha at gmail.com Wed Apr 23 16:03:22 2014 From: alex.hha at gmail.com (Alex Domoradov) Date: Wed, 23 Apr 2014 19:03:22 +0300 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: References: <20140423130156.GH2561@laa.zp.ua> Message-ID: как вариант php-fpm, правда могут быть проблемы с htaccess. Для начала все таки поставь и настрой тот же mod_rpaf/mod_extract_forwarded для апача, чтобы быть уверенным, что проблема именно в этом 2014-04-23 18:52 GMT+03:00 Daniel Podolsky : >> чтобы nginx работал без апача полноценно ? > не бывает. что-то - хоть апач, хоть fastcgi должно выполнять код вашего форума. > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum at nginx.us Wed Apr 23 16:40:35 2014 From: nginx-forum at nginx.us (horsement) Date: Wed, 23 Apr 2014 12:40:35 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: References: Message-ID: <26cb0e99dde1f55c2495ebe9bdb38ee3.NginxMailingListRussian@forum.nginx.org> да легко сказать поставить и проверить , у меня апач капризничает и не запускается с модулем LoadModule rpaf_module modules/mod_rpaf.so RPAFenable On RPAFsethostname On RPAFheader X-Forwarded-For RPAFproxy_ips 127.0.0.1 хотя я проверил в логах апача и на форуме у пользователей виден реальный айпи и еще нашел закономерность что на самом форуме авторизация проходит и держится , а на forum.ru/admin.php (admin panel) сессия обрывается через ~2секунды , причем если обращаться к нему в обход nginxa по forum.ru:8080/admin.php то все работает так как и должно быть Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249495#msg-249495 From alex.hha at gmail.com Wed Apr 23 19:07:32 2014 From: alex.hha at gmail.com (Alex Domoradov) Date: Wed, 23 Apr 2014 22:07:32 +0300 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <26cb0e99dde1f55c2495ebe9bdb38ee3.NginxMailingListRussian@forum.nginx.org> References: <26cb0e99dde1f55c2495ebe9bdb38ee3.NginxMailingListRussian@forum.nginx.org> Message-ID: Какой апач (версия/разрядность) и на какой ОС работает? 2014-04-23 19:40 GMT+03:00 horsement : > да легко сказать поставить и проверить , у меня апач капризничает и не > запускается с модулем > LoadModule rpaf_module modules/mod_rpaf.so > RPAFenable On > RPAFsethostname On > RPAFheader X-Forwarded-For > RPAFproxy_ips 127.0.0.1 > > хотя я проверил в логах апача и на форуме у пользователей виден реальный > айпи и еще нашел закономерность что на самом форуме авторизация проходит и > держится , а на forum.ru/admin.php (admin panel) сессия обрывается через > ~2секунды , причем если обращаться к нему в обход nginxa по > forum.ru:8080/admin.php то все работает так как и должно быть > > Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249495#msg-249495 > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum at nginx.us Wed Apr 23 22:48:12 2014 From: nginx-forum at nginx.us (iprok) Date: Wed, 23 Apr 2014 18:48:12 -0400 Subject: Dynamically configured mass virtual hosting In-Reply-To: <00ed01cf53e8$09f47ed0$1ddd7c70$@gmail.com> References: <00ed01cf53e8$09f47ed0$1ddd7c70$@gmail.com> Message-ID: http://nginx.org/ru/docs/http/ngx_http_core_module.html#root "В значении параметра путь можно использовать переменные, кроме $document_root и $realpath_root." http://nginx.org/ru/docs/http/ngx_http_core_module.html#server_name "Регулярное выражение может содержать выделения (0.7.40), которые могут затем использоваться в других директивах: server { server_name ~^(www\.)?(.+)$; location / { root /sites/$2; } } server { server_name _; location / { root /sites/default; } }" Обратите внимание на http://nginx.org/ru/docs/http/server_names.html#regex_names Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249155,249506#msg-249506 From nginx-forum at nginx.us Wed Apr 23 23:12:56 2014 From: nginx-forum at nginx.us (iprok) Date: Wed, 23 Apr 2014 19:12:56 -0400 Subject: =?UTF-8?B?0KXQuNGC0YDRi9C5INGD0YfQtdGCINGB0LrQsNGH0LjQstCw0LXQvNGL0YUg0L8=?= =?UTF-8?B?0L4g0L/RgNGP0LzRi9C8INGB0YHRi9C70LrQsNC8INGE0LDQudC70L7QsiAo?= =?UTF-8?B?bmdpbnggKyBwaXdpayk=?= Message-ID: <0d3289a88e4d7134d393eeff37d84c47.NginxMailingListRussian@forum.nginx.org> Здравствуйте! Есть сайт одной программы, на котором в частности выкладываются ее дистрибутивы. Пользователям они доступны следующими способами: 1) По ссылкам со страницы sitename.org/downloads/ (редактируемая авторами сайта html с ссылками) 2) Путем просмотра sitename.org/files (список файлов и папок автоматически генерируемый через fancyindex) 3) Прямые ссылки извне. Стоит задача учитывать скачивания файлов по всем трем ссылкам. Парсинг логов не подходит (используется piwik, а он через логи сильно меньше инфы получает). Поэтому выбрал способ через php скрипт с x-accel-redirect. При этом скачивания через пункт 1 учитываются из коробки, так что они должны быть исключены, чтобы избежать дублей. Посмотрите, пожалуйста, вырезку из конфигов. files.down - символическая ссылка на files (без этого был циклический редирект. Можно ли без нее?). Все ли я правильно сделал? nginx.conf: http { ... map $http_referer $direct_download { default 1; ~*sitename.org/files/.* 1; ~*://sitename.org 0; } ... server { ... root /var/www/sitename.org/htdocs; ... location /files/ { location ~* /.*?[^/]$ { #Обрабатывает все файлы, но не директории, листинг которых через fancyindex (на конце uri не должен быть / ) if ($direct_download) { rewrite ^/files/(.*) /down.php?path=$1 last; } } root /var/www/sitename.org/; fancyindex on; fancyindex_exact_size off; aio on; directio 512; output_buffers 1 128k; } location /files.down/ { root /var/www/sitename.org/; aio on; directio 512; output_buffers 1 128k; internal; } }} ну и down.php: Заранее спасибо всем откликнувшимся. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249507,249507#msg-249507 From nginx-forum at nginx.us Thu Apr 24 04:32:47 2014 From: nginx-forum at nginx.us (horsement) Date: Thu, 24 Apr 2014 00:32:47 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: References: Message-ID: <942fb83b95e4d8cb55a87de132bb525f.NginxMailingListRussian@forum.nginx.org> апач 2.4.4 вин сервер 2012 р2 х64 Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249510#msg-249510 From chipitsine at gmail.com Thu Apr 24 05:06:45 2014 From: chipitsine at gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Thu, 24 Apr 2014 11:06:45 +0600 Subject: =?UTF-8?B?UmU6INCl0LjRgtGA0YvQuSDRg9GH0LXRgiDRgdC60LDRh9C40LLQsNC10LzRi9GF?= =?UTF-8?B?INC/0L4g0L/RgNGP0LzRi9C8INGB0YHRi9C70LrQsNC8INGE0LDQudC70L4=?= =?UTF-8?B?0LIgKG5naW54ICsgcGl3aWsp?= In-Reply-To: <0d3289a88e4d7134d393eeff37d84c47.NginxMailingListRussian@forum.nginx.org> References: <0d3289a88e4d7134d393eeff37d84c47.NginxMailingListRussian@forum.nginx.org> Message-ID: можно через Lua снимать статистику (модуль сторонний, использовать его или нет, решайте сами) а) объявляем область памяти lua_shared_dict count 10M; б) через log_by_lua делаем счетчик log_by_lua ' local newval, err = ngx.shared.count:incr(ngx.var.upstream_addr, 1) if not newval and err == "not found" then ngx.shared.count:add(ngx.var.upstream_addr, 1) end '; } в) через отдельный location отдаем собранную статистику location /status { default_type 'text/html'; content_by_lua ' ngx.say("key xxx: ", ngx.shared.count:get("xxxx")) '; } по вкусу можно добавить timestamp (потому что shared memory обнулится при рестарте). в примере ключом является upstream_addr (мы считали обращения к бекендам при балансировке по least_conn), вам, наверное, надо переделать на путь до файла 24 апреля 2014 г., 5:12 пользователь iprok написал: > Здравствуйте! > > Есть сайт одной программы, на котором в частности выкладываются ее > дистрибутивы. > Пользователям они доступны следующими способами: > 1) По ссылкам со страницы sitename.org/downloads/ (редактируемая авторами > сайта html с ссылками) > 2) Путем просмотра sitename.org/files (список файлов и папок автоматически > генерируемый через fancyindex) > 3) Прямые ссылки извне. > > Стоит задача учитывать скачивания файлов по всем трем ссылкам. Парсинг логов > не подходит (используется piwik, а он через логи сильно меньше инфы > получает). Поэтому выбрал способ через php скрипт с x-accel-redirect. При > этом скачивания через пункт 1 учитываются из коробки, так что они должны > быть исключены, чтобы избежать дублей. > > Посмотрите, пожалуйста, вырезку из конфигов. files.down - символическая > ссылка на files (без этого был циклический редирект. Можно ли без нее?). Все > ли я правильно сделал? > > nginx.conf: > http { > ... > map $http_referer $direct_download { > default 1; > ~*sitename.org/files/.* 1; > ~*://sitename.org 0; > } > ... > server { > ... > root /var/www/sitename.org/htdocs; > ... > location /files/ { > location ~* /.*?[^/]$ { #Обрабатывает все файлы, но не > директории, листинг которых через fancyindex (на конце uri не должен быть / > ) > if ($direct_download) { > rewrite ^/files/(.*) /down.php?path=$1 > last; > } > } > root /var/www/sitename.org/; > > fancyindex on; > fancyindex_exact_size off; > > aio on; > directio 512; > output_buffers 1 128k; > } > location /files.down/ { > root /var/www/sitename.org/; > > aio on; > directio 512; > output_buffers 1 128k; > internal; > } > > }} > > ну и down.php: > > ... > // And redirect user to internal location > header("Content-Type: application/octet-stream"); > header("X-Accel-Redirect: /files.down/" . $path); > ?> > > Заранее спасибо всем откликнувшимся. > > Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249507,249507#msg-249507 > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum at nginx.us Thu Apr 24 07:09:35 2014 From: nginx-forum at nginx.us (iprok) Date: Thu, 24 Apr 2014 03:09:35 -0400 Subject: =?UTF-8?B?UmU6INCl0LjRgtGA0YvQuSDRg9GH0LXRgiDRgdC60LDRh9C40LLQsNC10LzRi9GF?= =?UTF-8?B?INC/0L4g0L/RgNGP0LzRi9C8INGB0YHRi9C70LrQsNC8INGE0LDQudC70L4=?= =?UTF-8?B?0LIgKG5naW54ICsgcGl3aWsp?= In-Reply-To: References: Message-ID: Илья Шипицин Wrote: ------------------------------------------------------- > можно через Lua снимать статистику (модуль сторонний, использовать > его > или нет, решайте сами) > Не совсем понял зачем мне lua, если я уже без него обошелся. В чем преимущество перед моей конфигурацией? Где учет рефереров? Как мне в Вашей конфигурации передавать количество закачанных файлов в piwik? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249507,249514#msg-249514 From ru at nginx.com Thu Apr 24 07:43:20 2014 From: ru at nginx.com (Ruslan Ermilov) Date: Thu, 24 Apr 2014 11:43:20 +0400 Subject: =?UTF-8?B?UmU6INCl0LjRgtGA0YvQuSDRg9GH0LXRgiDRgdC60LDRh9C40LLQsNC10LzRi9GF?= =?UTF-8?B?INC/0L4g0L/RgNGP0LzRi9C8INGB0YHRi9C70LrQsNC8INGE0LDQudC70L4=?= =?UTF-8?B?0LIgKG5naW54ICsgcGl3aWsp?= In-Reply-To: <0d3289a88e4d7134d393eeff37d84c47.NginxMailingListRussian@forum.nginx.org> References: <0d3289a88e4d7134d393eeff37d84c47.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140424074320.GF8084@lo0.su> On Wed, Apr 23, 2014 at 07:12:56PM -0400, iprok wrote: > Здравствуйте! > > Есть сайт одной программы, на котором в частности выкладываются ее > дистрибутивы. > Пользователям они доступны следующими способами: > 1) По ссылкам со страницы sitename.org/downloads/ (редактируемая авторами > сайта html с ссылками) > 2) Путем просмотра sitename.org/files (список файлов и папок автоматически > генерируемый через fancyindex) > 3) Прямые ссылки извне. > > Стоит задача учитывать скачивания файлов по всем трем ссылкам. Парсинг логов > не подходит (используется piwik, а он через логи сильно меньше инфы > получает). Поэтому выбрал способ через php скрипт с x-accel-redirect. При > этом скачивания через пункт 1 учитываются из коробки, так что они должны > быть исключены, чтобы избежать дублей. > > Посмотрите, пожалуйста, вырезку из конфигов. files.down - символическая > ссылка на files (без этого был циклический редирект. Можно ли без нее?). Все > ли я правильно сделал? Можно обойтись без symlink'а, используя директиву "alias /var/www/sitename.org/files/" вместо root внутри "location /files.down/". Этот location также имеет смысл пометить как внутренний директивой internal. Справочно сообщаю, что в готовящемся к выпуску релизе реализована [1] возможность условной записи в access_log, как-то так: access_log logs/access.log combined if=$direct_download; [1] http://hg.nginx.org/nginx/rev/cb308813b453 > nginx.conf: > http { > ... > map $http_referer $direct_download { > default 1; > ~*sitename.org/files/.* 1; > ~*://sitename.org 0; > } > ... > server { > ... > root /var/www/sitename.org/htdocs; > ... > location /files/ { > location ~* /.*?[^/]$ { #Обрабатывает все файлы, но не > директории, листинг которых через fancyindex (на конце uri не должен быть / > ) > if ($direct_download) { > rewrite ^/files/(.*) /down.php?path=$1 > last; > } > } > root /var/www/sitename.org/; > > fancyindex on; > fancyindex_exact_size off; > > aio on; > directio 512; > output_buffers 1 128k; > } > location /files.down/ { > root /var/www/sitename.org/; > > aio on; > directio 512; > output_buffers 1 128k; > internal; > } > > }} > > ну и down.php: > > ... > // And redirect user to internal location > header("Content-Type: application/octet-stream"); > header("X-Accel-Redirect: /files.down/" . $path); > ?> > > Заранее спасибо всем откликнувшимся. From nginx-forum at nginx.us Thu Apr 24 08:28:56 2014 From: nginx-forum at nginx.us (iprok) Date: Thu, 24 Apr 2014 04:28:56 -0400 Subject: =?UTF-8?B?UmU6INCl0LjRgtGA0YvQuSDRg9GH0LXRgiDRgdC60LDRh9C40LLQsNC10LzRi9GF?= =?UTF-8?B?INC/0L4g0L/RgNGP0LzRi9C8INGB0YHRi9C70LrQsNC8INGE0LDQudC70L4=?= =?UTF-8?B?0LIgKG5naW54ICsgcGl3aWsp?= In-Reply-To: <20140424074320.GF8084@lo0.su> References: <20140424074320.GF8084@lo0.su> Message-ID: <8026a01f2e889c2cbdbe5a871408e912.NginxMailingListRussian@forum.nginx.org> Ruslan Ermilov Wrote: ------------------------------------------------------- > On Wed, Apr 23, 2014 at 07:12:56PM -0400, iprok wrote: > Можно обойтись без symlink'а, используя директиву > "alias /var/www/sitename.org/files/" вместо root внутри > "location /files.down/". Этот location также имеет > смысл пометить как внутренний директивой internal. > Но тогда мы лишим пользователей возможностей доступа к спискам директорий и файлов по ссылке sitename/files/ . Правильно я понимаю? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249507,249518#msg-249518 From chipitsine at gmail.com Thu Apr 24 09:07:38 2014 From: chipitsine at gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Thu, 24 Apr 2014 15:07:38 +0600 Subject: =?UTF-8?B?UmU6INCl0LjRgtGA0YvQuSDRg9GH0LXRgiDRgdC60LDRh9C40LLQsNC10LzRi9GF?= =?UTF-8?B?INC/0L4g0L/RgNGP0LzRi9C8INGB0YHRi9C70LrQsNC8INGE0LDQudC70L4=?= =?UTF-8?B?0LIgKG5naW54ICsgcGl3aWsp?= In-Reply-To: References: Message-ID: вы уж как-нибудь определитесь, либо "заранее спасибо всем откликнувшимся", либо "не совсем понял, зачем мне Lua" 24 апреля 2014 г., 13:09 пользователь iprok написал: > Илья Шипицин Wrote: > ------------------------------------------------------- >> можно через Lua снимать статистику (модуль сторонний, использовать >> его >> или нет, решайте сами) >> > > Не совсем понял зачем мне lua, если я уже без него обошелся. В чем > преимущество перед моей конфигурацией? Где учет рефереров? Как мне в Вашей > конфигурации передавать количество закачанных файлов в piwik? > > Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249507,249514#msg-249514 > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum at nginx.us Thu Apr 24 09:31:04 2014 From: nginx-forum at nginx.us (horsement) Date: Thu, 24 Apr 2014 05:31:04 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LTQtdGA0LbQuNGCINGB0LXRgdGB0LjRjg==?= In-Reply-To: <20140423104112.GC34696@mdounin.ru> References: <20140423104112.GC34696@mdounin.ru> Message-ID: поставил последний апач который есть на данный момент в сети официальный mod_realip/mod_rpaf и тптд апач уже не съедает зато есть встроенный модуль mod_remoteip он настроен , но с ним такая же ерунда в nginxe пробывал proxy_set_header X-Forwarded-For $remote_addr; и proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; всеравно итог один , может всетаки конфиг у меня с ошибкой ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249465,249522#msg-249522 From mdounin at mdounin.ru Thu Apr 24 13:14:18 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 24 Apr 2014 17:14:18 +0400 Subject: nginx-1.6.0 Message-ID: <20140424131418.GX34696@mdounin.ru> Изменения в nginx 1.6.0 24.04.2014 *) Стабильная ветка 1.6.x. -- Maxim Dounin http://nginx.org/en/donation.html From mdounin at mdounin.ru Thu Apr 24 13:15:39 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 24 Apr 2014 17:15:39 +0400 Subject: nginx-1.7.0 Message-ID: <20140424131539.GB34696@mdounin.ru> Изменения в nginx 1.7.0 24.04.2014 *) Добавление: проверка SSL-сертификатов бэкендов. *) Добавление: поддержка SNI при работе с бэкендами по SSL. *) Добавление: переменная $ssl_server_name. *) Добавление: параметр if директивы access_log. -- Maxim Dounin http://nginx.org/en/donation.html From nginx-forum at nginx.us Thu Apr 24 13:20:45 2014 From: nginx-forum at nginx.us (den68) Date: Thu, 24 Apr 2014 09:20:45 -0400 Subject: =?UTF-8?B?bmdpbngg0Lgg0YHQvdC+0LLQsCBpY2VjYXN0MiA9INCyINGH0LXQvCDRgNCw0Lc=?= =?UTF-8?B?0L3QuNGG0LA/?= Message-ID: <91d427e7572d40cbcda5ec4efb69aa80.NginxMailingListRussian@forum.nginx.org> Собственно определенный вид мобильных клиентов онлайн радио, при прямом коннекте на icecast2 прекрасно работают, а через nginx - нет. приводить длинные конфиги не буду, но: location: default_type audio/mpeg; chunked_transfer_encoding off; proxy_buffering off; далее стандартно прокси итд. nginx самый что есть последний, с него и начали с проблемой бороться... собственно суть разницы ответов icecast и nginx: HTTP/1.0 200 OK Accept-Ranges: none Content-Type: audio/mpeg icy-br:32 ice-audio-info: channels=2;samplerate=44100;bitrate=32 icy-description: icy-genre: icy-name: icy-pub:1 icy-url: Server: id01 Cache-Control: no-cache Pragma: no-cache Expires: Mon, 26 Jul 1997 05:00:00 GMT HTTP/1.1 200 OK Server: nginx/1.5.13 Date: Thu, 24 Apr 2014 13:04:24 GMT Content-Type: audio/mpeg Connection: close Accept-Ranges: none icy-br: 32 ice-audio-info: channels=2;samplerate=44100;bitrate=32 icy-description: icy-genre: icy-name: icy-pub: 1 icy-url: Cache-Control: no-cache Pragma: no-cache Expires: Mon, 26 Jul 1997 05:00:00 GMT разница в ответах очевидна - Connection: close вопрос, как забороть? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249540,249540#msg-249540 From sytar.alex at gmail.com Thu Apr 24 13:38:37 2014 From: sytar.alex at gmail.com (Aleksandr Sytar) Date: Thu, 24 Apr 2014 17:38:37 +0400 Subject: nginx-1.6.0 In-Reply-To: <20140424131418.GX34696@mdounin.ru> References: <20140424131418.GX34696@mdounin.ru> Message-ID: 2014-04-24 17:14 GMT+04:00 Maxim Dounin : > Изменения в nginx 1.6.0 24.04.2014 > > *) Стабильная ветка 1.6.x. > > Стесняюсь спросить - релиз под новый LTS ожидается? From mdounin at mdounin.ru Thu Apr 24 13:47:47 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 24 Apr 2014 17:47:47 +0400 Subject: =?UTF-8?B?UmU6IG5naW54INC4INGB0L3QvtCy0LAgaWNlY2FzdDIgPSDQsiDRh9C10Lwg0YA=?= =?UTF-8?B?0LDQt9C90LjRhtCwPw==?= In-Reply-To: <91d427e7572d40cbcda5ec4efb69aa80.NginxMailingListRussian@forum.nginx.org> References: <91d427e7572d40cbcda5ec4efb69aa80.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140424134747.GD34696@mdounin.ru> Hello! On Thu, Apr 24, 2014 at 09:20:45AM -0400, den68 wrote: > Собственно определенный вид мобильных клиентов онлайн радио, при прямом > коннекте на icecast2 прекрасно работают, а через nginx - нет. > приводить длинные конфиги не буду, но: > > location: > > default_type audio/mpeg; > chunked_transfer_encoding off; > proxy_buffering off; > далее стандартно прокси итд. > > nginx самый что есть последний, с него и начали с проблемой бороться... > собственно суть разницы ответов icecast и nginx: > > HTTP/1.0 200 OK > Accept-Ranges: none > Content-Type: audio/mpeg > icy-br:32 > ice-audio-info: channels=2;samplerate=44100;bitrate=32 > icy-description: > icy-genre: > icy-name: > icy-pub:1 > icy-url: > Server: id01 > Cache-Control: no-cache > Pragma: no-cache > Expires: Mon, 26 Jul 1997 05:00:00 GMT > > > HTTP/1.1 200 OK > Server: nginx/1.5.13 > Date: Thu, 24 Apr 2014 13:04:24 GMT > Content-Type: audio/mpeg > Connection: close > Accept-Ranges: none > icy-br: 32 > ice-audio-info: channels=2;samplerate=44100;bitrate=32 > icy-description: > icy-genre: > icy-name: > icy-pub: 1 > icy-url: > Cache-Control: no-cache > Pragma: no-cache > Expires: Mon, 26 Jul 1997 05:00:00 GMT > > разница в ответах очевидна - Connection: close И это правильно, он там нужен, т.к. анонсированная версия ответа - HTTP/1.1, длины нет, а chunked использовать запрещено конфигом. > вопрос, как забороть? Я бы попробовал для начала выкинуть chunked_transfer_encoding из конфига. Если не поможет - написать авторам "определенного вида мобильных клиентов онлайн радио", это явно их косяк. -- Maxim Dounin http://nginx.org/ From mdounin at mdounin.ru Thu Apr 24 13:52:00 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 24 Apr 2014 17:52:00 +0400 Subject: nginx-1.6.0 In-Reply-To: References: <20140424131418.GX34696@mdounin.ru> Message-ID: <20140424135200.GE34696@mdounin.ru> Hello! On Thu, Apr 24, 2014 at 05:38:37PM +0400, Aleksandr Sytar wrote: > 2014-04-24 17:14 GMT+04:00 Maxim Dounin : > > Изменения в nginx 1.6.0 24.04.2014 > > > > *) Стабильная ветка 1.6.x. > > > > > > Стесняюсь спросить - релиз под новый LTS ожидается? ENOPARSE. Всмысле - пакеты для Ubuntu 14.04? Ожидаются. -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Thu Apr 24 14:20:05 2014 From: nginx-forum at nginx.us (den68) Date: Thu, 24 Apr 2014 10:20:05 -0400 Subject: =?UTF-8?B?UmU6IG5naW54INC4INGB0L3QvtCy0LAgaWNlY2FzdDIgPSDQsiDRh9C10Lwg0YA=?= =?UTF-8?B?0LDQt9C90LjRhtCwPw==?= In-Reply-To: <20140424134747.GD34696@mdounin.ru> References: <20140424134747.GD34696@mdounin.ru> Message-ID: Спасибо за ответ, сейчас попробуем.... Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249540,249544#msg-249544 From nginx-forum at nginx.us Thu Apr 24 14:59:13 2014 From: nginx-forum at nginx.us (horsement) Date: Thu, 24 Apr 2014 10:59:13 -0400 Subject: =?UTF-8?B?0L3QtSDQstC40LTQuNGCINC00LjRgNC10LrRgtC+0YDQuNGO?= Message-ID: nginx+php+ fastcgi c таким конфигом не видит веб-файлы в директорий с:\appserv\htdosc #user nobody; worker_processes 1; pid logs/nginx.pid; events { worker_connections 101; } http { include mime.types; default_type application/octet-stream; client_header_timeout 3m; client_body_timeout 3m; send_timeout 3m; client_header_buffer_size 1k; large_client_header_buffers 4 4k; sendfile on; tcp_nopush on; tcp_nodelay on; #send_lowat 12000; keepalive_timeout 900; output_buffers 1 32k; postpone_output 1460; gzip on; gzip_min_length 1100; gzip_buffers 4 8k; gzip_types text/plain text/xml application/xml application/x-javascript text/javascript text/css text/json; gzip_http_version 1.0; gzip_comp_level 4; upstream backend { server 127.0.0.1:9000; server 127.0.0.1:9001; server 127.0.0.1:9002; server 127.0.0.1:9003; server 127.0.0.1:9004; } server { listen 80; server_name localhost; #root htdocs; #index index.php; charset utf-8; server_tokens off; location / { root C:/APPServ/htdocs; index index.php; } # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 location ~ \.php$ { # fastcgi_pass localhost:9000; # fastcgi_index index.php; # fastcgi_param SCRIPT_FILENAME C:/APPServ/htdocs$fastcgi_script_name; include C:/APPServ/conf/fastcgi_params; # fastcgi_intercept_errors on; } location ~ /\.ht { deny all; } } } а если убрать upstream backend и раскоментировать fastcgi все прекрасно видит в чем тут подводный камень , вроде в принципе же все одно и тоже ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249546,249546#msg-249546 From mdounin at mdounin.ru Thu Apr 24 15:43:33 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 24 Apr 2014 19:43:33 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: References: Message-ID: <20140424154332.GF34696@mdounin.ru> Hello! On Thu, Apr 24, 2014 at 10:59:13AM -0400, horsement wrote: > c таким конфигом не видит веб-файлы в директорий с:\appserv\htdosc Что такое "веб-файлы" и в чём выражется "не видит"? -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Thu Apr 24 15:55:32 2014 From: nginx-forum at nginx.us (horsement) Date: Thu, 24 Apr 2014 11:55:32 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: <20140424154332.GF34696@mdounin.ru> References: <20140424154332.GF34696@mdounin.ru> Message-ID: веб-файлы это index.php etc не видит таким образом что пишет 404 Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249546,249550#msg-249550 From mdounin at mdounin.ru Thu Apr 24 16:15:38 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Thu, 24 Apr 2014 20:15:38 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: References: <20140424154332.GF34696@mdounin.ru> Message-ID: <20140424161538.GG34696@mdounin.ru> Hello! On Thu, Apr 24, 2014 at 11:55:32AM -0400, horsement wrote: > веб-файлы это index.php etc > не видит таким образом что пишет 404 В приведённом вами конфиге файлы с расширением .php обрабатываются в "location ~ \.php$", и root там не задан, так что 404 - вполне логичный результат. Задайте root на уровне server{} - и будет вам счастье. Подробное описание этой типичной ошибки можно почитать на английском языке тут: http://wiki.nginx.org/Pitfalls#Root_inside_Location_Block Ну и с документацией я бы тоже рекомендовал ознакомиться, особенно - вот с этой базовой статьёй: http://nginx.org/ru/docs/http/request_processing.html -- Maxim Dounin http://nginx.org/ From nginx-forum at nginx.us Thu Apr 24 16:53:08 2014 From: nginx-forum at nginx.us (horsement) Date: Thu, 24 Apr 2014 12:53:08 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: <20140424161538.GG34696@mdounin.ru> References: <20140424161538.GG34696@mdounin.ru> Message-ID: <050c75a31f83047ef122df616b2b6ee8.NginxMailingListRussian@forum.nginx.org> ну вышеже указана директория location / { root C:/APPServ/htdocs; index index.php; } темболее если раскоментировать location ~ \.php$ { fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME C:/APPServ/htdocs$fastcgi_script_name; он тоже показывает 404 Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249546,249554#msg-249554 From nginx-forum at nginx.us Thu Apr 24 16:59:58 2014 From: nginx-forum at nginx.us (horsement) Date: Thu, 24 Apr 2014 12:59:58 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: <20140424161538.GG34696@mdounin.ru> References: <20140424161538.GG34696@mdounin.ru> Message-ID: <82fcb26f5b1bb5da5c5db7021d6e98bd.NginxMailingListRussian@forum.nginx.org> а простите дурака , спасибо за совет , он помог а есть какая нибудь оптимизация к nginxе в связке с php-cg чтобы при нагрузки на сервер php-cgi.exe не крешил ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249546,249556#msg-249556 From vbart at nginx.com Thu Apr 24 17:24:25 2014 From: vbart at nginx.com (Valentin V. Bartenev) Date: Thu, 24 Apr 2014 21:24:25 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: <82fcb26f5b1bb5da5c5db7021d6e98bd.NginxMailingListRussian@forum.nginx.org> References: <20140424161538.GG34696@mdounin.ru> <82fcb26f5b1bb5da5c5db7021d6e98bd.NginxMailingListRussian@forum.nginx.org> Message-ID: <1882358.3Wt3FYHNSZ@vbart-workstation> On Thursday 24 April 2014 12:59:58 horsement wrote: > а простите дурака , спасибо за совет , он помог > > а есть какая нибудь оптимизация к nginxе в связке с php-cg чтобы при > нагрузки на сервер php-cgi.exe не крешил ? > Есть. Сменить ОС. -- Валентин Бартенев From nginx-forum at nginx.us Thu Apr 24 18:00:36 2014 From: nginx-forum at nginx.us (horsement) Date: Thu, 24 Apr 2014 14:00:36 -0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: <1882358.3Wt3FYHNSZ@vbart-workstation> References: <1882358.3Wt3FYHNSZ@vbart-workstation> Message-ID: <0c47e1158e8707be8a36152ad46f3a70.NginxMailingListRussian@forum.nginx.org> а какой именно юниксовая ос подойдет под веб и бд-mysql Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249546,249567#msg-249567 From onokonem at gmail.com Thu Apr 24 19:05:49 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Thu, 24 Apr 2014 23:05:49 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: <0c47e1158e8707be8a36152ad46f3a70.NginxMailingListRussian@forum.nginx.org> References: <1882358.3Wt3FYHNSZ@vbart-workstation> <0c47e1158e8707be8a36152ad46f3a70.NginxMailingListRussian@forum.nginx.org> Message-ID: > а какой именно юниксовая ос подойдет под веб и бд-mysql выбирайте ubuntu 14.04 server - такая же попса, как винда. From laa at laa.zp.ua Thu Apr 24 19:12:33 2014 From: laa at laa.zp.ua (Lystopad Aleksandr) Date: Thu, 24 Apr 2014 23:12:33 +0400 Subject: =?UTF-8?B?UmU6INC90LUg0LLQuNC00LjRgiDQtNC40YDQtdC60YLQvtGA0LjRjg==?= In-Reply-To: <0c47e1158e8707be8a36152ad46f3a70.NginxMailingListRussian@forum.nginx.org> References: <1882358.3Wt3FYHNSZ@vbart-workstation> <0c47e1158e8707be8a36152ad46f3a70.NginxMailingListRussian@forum.nginx.org> Message-ID: <20140424191233.GN2546@laa.zp.ua> Hello, horsement! On Thu, Apr 24, 2014 at 02:00:36PM -0400 nginx-forum at nginx.us wrote about "Re: не видит директорию": > а какой именно юниксовая ос подойдет под веб и бд-mysql Лучше всего подходит тот, которому сможете обепечить должное обслуживание. -- Lystopad Aleksandr From mva at mva.name Fri Apr 25 02:33:55 2014 From: mva at mva.name (Vadim A. Misbakh-Soloviov) Date: Fri, 25 Apr 2014 09:33:55 +0700 Subject: nginx-1.7.0 In-Reply-To: <20140424131539.GB34696@mdounin.ru> References: <20140424131539.GB34696@mdounin.ru> Message-ID: <1778192.buE9Bpi8Fy@note> В письме от Чт, 24 апреля 2014 17:15:39 пользователь Maxim Dounin написал: > Изменения в nginx 1.7.0 24.04.2014 > > *) Добавление: проверка SSL-сертификатов бэкендов. Отключаемая, надеюсь? > > *) Добавление: поддержка SNI при работе с бэкендами по SSL. > > *) Добавление: переменная $ssl_server_name. > > *) Добавление: параметр if директивы access_log. -- Best regsrds, mva -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 836 bytes Desc: This is a digitally signed message part. URL: From vl at nginx.com Fri Apr 25 04:46:44 2014 From: vl at nginx.com (Homutov Vladimir) Date: Fri, 25 Apr 2014 08:46:44 +0400 Subject: nginx-1.7.0 In-Reply-To: <1778192.buE9Bpi8Fy@note> References: <20140424131539.GB34696@mdounin.ru> <1778192.buE9Bpi8Fy@note> Message-ID: <20140425044643.GA29776@vl> On Fri, Apr 25, 2014 at 09:33:55AM +0700, Vadim A. Misbakh-Soloviov wrote: > В письме от Чт, 24 апреля 2014 17:15:39 пользователь Maxim Dounin написал: > > Изменения в nginx 1.7.0 24.04.2014 > > > > *) Добавление: проверка SSL-сертификатов бэкендов. > > Отключаемая, надеюсь? http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_ssl_verify > > > > *) Добавление: поддержка SNI при работе с бэкендами по SSL. > > > > *) Добавление: переменная $ssl_server_name. > > > > *) Добавление: параметр if директивы access_log. > > -- > Best regsrds, > mva > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From dmitry.goryainov at gmail.com Fri Apr 25 08:11:55 2014 From: dmitry.goryainov at gmail.com (Dmitry) Date: Fri, 25 Apr 2014 12:11:55 +0400 Subject: nginx-1.7.0 In-Reply-To: <20140425044643.GA29776@vl> References: <20140424131539.GB34696@mdounin.ru> <1778192.buE9Bpi8Fy@note> <20140425044643.GA29776@vl> Message-ID: 2014-04-25 8:46 GMT+04:00 Homutov Vladimir : > On Fri, Apr 25, 2014 at 09:33:55AM +0700, Vadim A. Misbakh-Soloviov wrote: > > В письме от Чт, 24 апреля 2014 17:15:39 пользователь Maxim Dounin > написал: > > > Изменения в nginx 1.7.0 > 24.04.2014 > > > > > > *) Добавление: проверка SSL-сертификатов бэкендов. > > > > Отключаемая, надеюсь? > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_ssl_verify > > Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не всегда очевидна, а "по умолчанию 1" будет трактоваться как только один? -- Dmitry Goryainov -------------- next part -------------- An HTML attachment was scrubbed... URL: From greenh at gmail.com Fri Apr 25 08:20:24 2014 From: greenh at gmail.com (greenh) Date: Fri, 25 Apr 2014 11:20:24 +0300 Subject: =?UTF-8?B?0KHRgtGA0LDQvdC90L7QtSDQv9C+0LLQtdC00LXQvdC40LUg0LggNTAyINC+0Yg=?= =?UTF-8?B?0LjQsdC60LA=?= Message-ID: Добрый день Подскажите плз, куда смотреть Имеется nginx/1.4.1 на centos, стоящий фронтендом перед апачем Вчера заметили странную вещь - при обращении к серверу некоторых сервисов, возвращающих ответ POST запросом (text.ru) nginx выдает 502 ошибку, при этом в логах вот что access.log POST /uniq_news.php HTTP/1.1" 502 172 "-" "-" "-" r= uid=xxxxx&text_unique=100.00&json_result=%7B%22date_check%22%3A%2225.04.2014+11%3A37%3A08%22%2C%22unique%22%3A100%2C%22urls%22%3A%5B%5D%7D error.log 2014/04/25 10:36:58 [error] 6572#0: *4783 upstream prematurely closed connection while reading response header from upstream, client: 37.187.71.37, server: b2blogger.com, request: "POST /uniq_news.php HTTP/1.1", upstream: "http://109.205.246.71:80/uniq_news.php", host: " b2blogger.com" При этом, если послать аналогичный запрос из браузера - все отрабатывается нормально. Что это может быть? -------------- next part -------------- An HTML attachment was scrubbed... URL: From greenh at gmail.com Fri Apr 25 08:25:12 2014 From: greenh at gmail.com (greenh) Date: Fri, 25 Apr 2014 11:25:12 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0L/QvtCy0LXQtNC10L3QuNC1INC4IDUwMiA=?= =?UTF-8?B?0L7RiNC40LHQutCw?= In-Reply-To: References: Message-ID: Сорри, вопрос решился перезапуском апача. Мистика. 25 апреля 2014 г., 11:20 пользователь greenh написал: > Добрый день > Подскажите плз, куда смотреть > Имеется nginx/1.4.1 на centos, стоящий фронтендом перед апачем > Вчера заметили странную вещь - при обращении к серверу некоторых сервисов, > возвращающих ответ POST запросом (text.ru) nginx выдает 502 ошибку, при > этом в логах вот что > > access.log > POST /uniq_news.php HTTP/1.1" 502 172 "-" "-" "-" r= > uid=xxxxx&text_unique=100.00&json_result=%7B%22date_check%22%3A%2225.04.2014+11%3A37%3A08%22%2C%22unique%22%3A100%2C%22urls%22%3A%5B%5D%7D > > error.log > > 2014/04/25 10:36:58 [error] 6572#0: *4783 upstream prematurely closed > connection while reading response header from upstream, client: > 37.187.71.37, server: b2blogger.com, request: "POST /uniq_news.php > HTTP/1.1", upstream: "http://109.205.246.71:80/uniq_news.php", host: " > b2blogger.com" > > При этом, если послать аналогичный запрос из браузера - все отрабатывается > нормально. > Что это может быть? > -------------- next part -------------- An HTML attachment was scrubbed... URL: From onokonem at gmail.com Fri Apr 25 09:29:46 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 13:29:46 +0400 Subject: =?UTF-8?B?0LvQvtCz0LjRgNC+0LLQsNC90LjQtSDQv9C+IFVEUA==?= Message-ID: Добрый день! Каким модулем сегодня модно пользоваться для отправки логов по UDP? Почему так делать "плохо" - я в курсе, и для моей задачи это значениея не имеет. Спасибо! С уважением, Даниил Подольский From citrin at citrin.ru Fri Apr 25 09:50:03 2014 From: citrin at citrin.ru (Anton Yuzhaninov) Date: Fri, 25 Apr 2014 13:50:03 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: <535A2FCB.3020005@citrin.ru> On 04/25/14 13:29, Daniel Podolsky wrote: > Каким модулем сегодня модно пользоваться для отправки логов по UDP? tail -F access_log | logger.pl logger.pl пишется на перле или другом языке высокого уровня максимум за пол-часа. From onokonem at gmail.com Fri Apr 25 09:53:18 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 13:53:18 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: <535A2FCB.3020005@citrin.ru> References: <535A2FCB.3020005@citrin.ru> Message-ID: > tail -F access_log | logger.pl вот как раз этого мы позволить себе не можем. From nefer05 at gmail.com Fri Apr 25 09:57:27 2014 From: nefer05 at gmail.com (=?UTF-8?B?0KDQvtC80LDQvSDQnNC+0YHQutCy0LjRgtC40L0=?=) Date: Fri, 25 Apr 2014 13:57:27 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A2FCB.3020005@citrin.ru> Message-ID: вроде ж модуль для nginx только один был... И даже работал год назад. По крайней мере у меня с ним проблем не было. 2014-04-25 13:53 GMT+04:00 Daniel Podolsky : > > tail -F access_log | logger.pl > вот как раз этого мы позволить себе не можем. > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From onokonem at gmail.com Fri Apr 25 10:17:21 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 14:17:21 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A2FCB.3020005@citrin.ru> Message-ID: 2014-04-25 13:57 GMT+04:00 Роман Москвитин : > вроде ж модуль для nginx только один был... И даже работал год назад. По > крайней мере у меня с ним проблем не было. вот этот? http://www.grid.net.ru/nginx/udplog.ru.html он, насколько я помню, про access_log только, а мы хотим еще и error From maksim at woyager.ru Fri Apr 25 10:19:32 2014 From: maksim at woyager.ru (Maksim Anfilatov) Date: Fri, 25 Apr 2014 14:19:32 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A2FCB.3020005@citrin.ru> Message-ID: https://github.com/ngsru/nginx-syslog-module 25 апреля 2014 г., 14:17 пользователь Daniel Podolsky написал: > 2014-04-25 13:57 GMT+04:00 Роман Москвитин : > > вроде ж модуль для nginx только один был... И даже работал год назад. По > > крайней мере у меня с ним проблем не было. > вот этот? http://www.grid.net.ru/nginx/udplog.ru.html > > он, насколько я помню, про access_log только, а мы хотим еще и error > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From nefer05 at gmail.com Fri Apr 25 10:25:31 2014 From: nefer05 at gmail.com (=?UTF-8?B?0KDQvtC80LDQvSDQnNC+0YHQutCy0LjRgtC40L0=?=) Date: Fri, 25 Apr 2014 14:25:31 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A2FCB.3020005@citrin.ru> Message-ID: Тогда я бы искал как вашему syslogd скормить внешний файл и уже его средствами слать на другую машину. Либо расколупать код и добавить поддержку error_log в модуль. 2014-04-25 14:17 GMT+04:00 Daniel Podolsky : > 2014-04-25 13:57 GMT+04:00 Роман Москвитин : > > вроде ж модуль для nginx только один был... И даже работал год назад. По > > крайней мере у меня с ним проблем не было. > вот этот? http://www.grid.net.ru/nginx/udplog.ru.html > > он, насколько я помню, про access_log только, а мы хотим еще и error > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From bondarets at gmail.com Fri Apr 25 10:26:15 2014 From: bondarets at gmail.com (Ivan Bondarets) Date: Fri, 25 Apr 2014 14:26:15 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: Штатный syslog-ng модуль из комплекта OS чем не устроил? Он может любой лог-файл переслать вовне хоть по UDP, хоть по TCP. 25 апреля 2014 г., 13:29 пользователь Daniel Podolsky написал: > Добрый день! > > Каким модулем сегодня модно пользоваться для отправки логов по UDP? > > Почему так делать "плохо" - я в курсе, и для моей задачи это значениея не имеет. > > Спасибо! > > С уважением, > Даниил Подольский > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From onokonem at gmail.com Fri Apr 25 10:57:48 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 14:57:48 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: > Штатный syslog-ng модуль из комплекта OS чем не устроил? нагрузку создает на диск. From nefer05 at gmail.com Fri Apr 25 11:02:14 2014 From: nefer05 at gmail.com (=?UTF-8?B?0KDQvtC80LDQvSDQnNC+0YHQutCy0LjRgtC40L0=?=) Date: Fri, 25 Apr 2014 15:02:14 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти то на сервере с запасом? 2014-04-25 14:57 GMT+04:00 Daniel Podolsky : > > Штатный syslog-ng модуль из комплекта OS чем не устроил? > нагрузку создает на диск. > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From onokonem at gmail.com Fri Apr 25 11:04:27 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 15:04:27 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: > Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти то > на сервере с запасом? вот этого вот всего хотелось избежать... From nefer05 at gmail.com Fri Apr 25 11:09:21 2014 From: nefer05 at gmail.com (=?UTF-8?B?0KDQvtC80LDQvSDQnNC+0YHQutCy0LjRgtC40L0=?=) Date: Fri, 25 Apr 2014 15:09:21 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: Тогда патчить модуль. 2014-04-25 15:04 GMT+04:00 Daniel Podolsky : > > Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти > то > > на сервере с запасом? > вот этого вот всего хотелось избежать... > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From onokonem at gmail.com Fri Apr 25 11:13:55 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 15:13:55 +0400 Subject: =?UTF-8?B?RndkOiDQu9C+0LPQuNGA0L7QstCw0L3QuNC1INC/0L4gVURQ?= In-Reply-To: References: Message-ID: форвардну сюда - пусть поисковики проиндексируют. видимо - изучим, и я отчитаюсь ---------- Forwarded message ---------- From: Maksim Anfilatov Date: 2014-04-25 15:11 GMT+04:00 Subject: Re: логирование по UDP To: onokonem at gmail.com День добрый. Почему-то не удалось ответить в рассылку - есть вот такой модуль https://github.com/ngsru/nginx-syslog-module, умеет и error_log отправлять. 25 апреля 2014 г., 15:04 пользователь Daniel Podolsky написал: > > > Делается маленький ramfs диск и (внезапно!) нагрузки на диск нет. Памяти то > > на сервере с запасом? > вот этого вот всего хотелось избежать... > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From maxim at nginx.com Fri Apr 25 11:18:25 2014 From: maxim at nginx.com (Maxim Konovalov) Date: Fri, 25 Apr 2014 15:18:25 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: <535A4481.3040701@nginx.com> На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. Если все пойдет по плану, то где-то в районе июня такая поддержка появится в 1.7. Документацию можно посмотреть тут: http://nginx.org/en/docs/http/ngx_http_log_module.html Ключевое слово "syslog". -- Maxim Konovalov http://nginx.com From dmitriy at lyalyuev.info Fri Apr 25 11:29:12 2014 From: dmitriy at lyalyuev.info (Dmitriy Lyalyuev) Date: Fri, 25 Apr 2014 14:29:12 +0300 Subject: =?UTF-8?B?0KDQtdC/0L7Qt9C40YLQvtGA0LjQuSBVYnVudHU=?= Message-ID: <535A4708.6090102@lyalyuev.info> Добрый день. Пытаюсь привязать официальный репозиторий как написано на http://nginx.org/ru/linux_packages.html: deb http://nginx.org/packages/mainline/ubuntu/ codename nginx deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx Результат после обновления списка пакетов: W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/source/Sources 404 Not Found W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/binary-i386/Packages 404 Not Found Что-то не так в консерватории? Или я таки не верно что-то понимаю? Спасибо за помощь. From nefer05 at gmail.com Fri Apr 25 11:31:26 2014 From: nefer05 at gmail.com (=?UTF-8?B?0KDQvtC80LDQvSDQnNC+0YHQutCy0LjRgtC40L0=?=) Date: Fri, 25 Apr 2014 15:31:26 +0400 Subject: =?UTF-8?B?UmU6INCg0LXQv9C+0LfQuNGC0L7RgNC40LkgVWJ1bnR1?= In-Reply-To: <535A4708.6090102@lyalyuev.info> References: <535A4708.6090102@lyalyuev.info> Message-ID: 1. при чем тут nginx? Это на убунтофорумы надо. 2. codename надо поменять на codename вашего дистрибутива. 2014-04-25 15:29 GMT+04:00 Dmitriy Lyalyuev : > Добрый день. > > Пытаюсь привязать официальный репозиторий как написано на > http://nginx.org/ru/linux_packages.html: > > deb http://nginx.org/packages/mainline/ubuntu/ codename nginx > deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx > > Результат после обновления списка пакетов: > > W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/ > codename/nginx/source/Sources 404 Not Found > > W: Не удалось получить http://nginx.org/packages/mainline/ubuntu/dists/ > codename/nginx/binary-i386/Packages 404 Not Found > > Что-то не так в консерватории? Или я таки не верно что-то понимаю? > Спасибо за помощь. > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From thresh at nginx.com Fri Apr 25 11:32:12 2014 From: thresh at nginx.com (Konstantin Pavlov) Date: Fri, 25 Apr 2014 15:32:12 +0400 Subject: =?UTF-8?B?UmU6INCg0LXQv9C+0LfQuNGC0L7RgNC40LkgVWJ1bnR1?= In-Reply-To: <535A4708.6090102@lyalyuev.info> References: <535A4708.6090102@lyalyuev.info> Message-ID: <535A47BC.1080602@nginx.com> On 25/04/2014 15:29, Dmitriy Lyalyuev wrote: > Добрый день. > > Пытаюсь привязать официальный репозиторий как написано на > http://nginx.org/ru/linux_packages.html: > > deb http://nginx.org/packages/mainline/ubuntu/ codename nginx > deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx > > Результат после обновления списка пакетов: > > W: Не удалось получить > http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/source/Sources > 404 Not Found > > W: Не удалось получить > http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/binary-i386/Packages > 404 Not Found > > Что-то не так в консерватории? Или я таки не верно что-то понимаю? > Спасибо за помощь. "Для Ubuntu замените codename на кодовое имя дистрибутива" -- Konstantin Pavlov From dmitriy at lyalyuev.info Fri Apr 25 11:32:41 2014 From: dmitriy at lyalyuev.info (Dmitriy Lyalyuev) Date: Fri, 25 Apr 2014 14:32:41 +0300 Subject: =?UTF-8?B?UmU6INCg0LXQv9C+0LfQuNGC0L7RgNC40LkgVWJ1bnR1?= In-Reply-To: <535A4708.6090102@lyalyuev.info> References: <535A4708.6090102@lyalyuev.info> Message-ID: <535A47D9.4070106@lyalyuev.info> Странно, но второй раз обновилось нормально. Вопрос закрыт. PS: Да, codename я заменил на имя системы в первую попытку. 25.04.2014 14:29, Dmitriy Lyalyuev пишет: > Добрый день. > > Пытаюсь привязать официальный репозиторий как написано на > http://nginx.org/ru/linux_packages.html: > > deb http://nginx.org/packages/mainline/ubuntu/ codename nginx > deb-src http://nginx.org/packages/mainline/ubuntu/ codename nginx > > Результат после обновления списка пакетов: > > W: Не удалось получить > http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/source/Sources > 404 Not Found > > W: Не удалось получить > http://nginx.org/packages/mainline/ubuntu/dists/codename/nginx/binary-i386/Packages > 404 Not Found > > Что-то не так в консерватории? Или я таки не верно что-то понимаю? > Спасибо за помощь. > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From onokonem at gmail.com Fri Apr 25 11:35:19 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 15:35:19 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: <535A4481.3040701@nginx.com> References: <535A4481.3040701@nginx.com> Message-ID: > На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. > Если все пойдет по плану, то где-то в районе июня такая поддержка > появится в 1.7. о! это круто. до июня, правда, мы можем и не дотерпеть... From esokolov.test at gmail.com Fri Apr 25 11:37:18 2014 From: esokolov.test at gmail.com (=?UTF-8?B?0JXQstCz0LXQvdC40Lkg0JrQstCw0LfQsNGA?=) Date: Fri, 25 Apr 2014 17:37:18 +0600 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: <535A4481.3040701@nginx.com> References: <535A4481.3040701@nginx.com> Message-ID: У нас маленький сервис, запускающийся runit-ом, создающий именованный пайм, данные из которого перебрасываются через nc куда надо. nginx пишет логи в именованный пайп и всё. Два пайпа. Один 25 апреля 2014 г., 17:18 пользователь Maxim Konovalov написал: > На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. > Если все пойдет по плану, то где-то в районе июня такая поддержка > появится в 1.7. > > Документацию можно посмотреть тут: > > http://nginx.org/en/docs/http/ngx_http_log_module.html > > Ключевое слово "syslog". > > -- > Maxim Konovalov > http://nginx.com > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- -- Соколов Евгений -------------- next part -------------- An HTML attachment was scrubbed... URL: From postmaster at softsearch.ru Fri Apr 25 11:37:34 2014 From: postmaster at softsearch.ru (=?koi8-r?B?7cnIwcnMIO3PzsHbo9c=?=) Date: Fri, 25 Apr 2014 15:37:34 +0400 Subject: =?UTF-8?B?0JLQvtC/0YDQvtGBINC/0YDQviBtZXJnZV9zbGFzaGVz?= Message-ID: <87646798.20140425153734@softsearch.ru> Здравствуйте. В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes написано "Однако из соображений безопасности лучше избегать отключения преобразования." Что именно небезопасного может произойти при merge_slashes off; Поясню проблему. Сайт сильно спамят. Я настроил правило, которое смотрит лог и если происходит более Х обращений вроде POST /p/add_topic.cgi HTTP/1.1 то ip считается подозрительным. Спамер это просёк и сейчас шлёт запросы вот такие: POST //p/add_topic.cgi HTTP/1.1" Я могу свою парсилку логов поправить, но и с директивой хотелось бы понять проблему. -- С уважением, Михаил mailto:postmaster at softsearch.ru From nefer05 at gmail.com Fri Apr 25 11:38:18 2014 From: nefer05 at gmail.com (=?UTF-8?B?0KDQvtC80LDQvSDQnNC+0YHQutCy0LjRgtC40L0=?=) Date: Fri, 25 Apr 2014 15:38:18 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A4481.3040701@nginx.com> Message-ID: Собсно я тормознул - ранее давали ссылку на syslog модуль для nginx. Он тоже вполне себе неплохо работал у меня. при этом настраивается сразу что бы от nginx'а логи не писались в файл, а сразу отсылались на удаленный сервер. Ы? 2014-04-25 15:35 GMT+04:00 Daniel Podolsky : > > На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. > > Если все пойдет по плану, то где-то в районе июня такая поддержка > > появится в 1.7. > о! это круто. до июня, правда, мы можем и не дотерпеть... > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From esokolov.test at gmail.com Fri Apr 25 11:38:52 2014 From: esokolov.test at gmail.com (=?UTF-8?B?0JXQstCz0LXQvdC40Lkg0JrQstCw0LfQsNGA?=) Date: Fri, 25 Apr 2014 17:38:52 +0600 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A4481.3040701@nginx.com> Message-ID: Два пайпа. Один на access.log, другой на error.log 25 апреля 2014 г., 17:37 пользователь Евгений Квазар < esokolov.test at gmail.com> написал: > У нас маленький сервис, запускающийся runit-ом, создающий именованный > пайм, данные из которого перебрасываются через nc куда надо. > nginx пишет логи в именованный пайп и всё. > Два пайпа. Один > > > 25 апреля 2014 г., 17:18 пользователь Maxim Konovalov написал: > > На всякий случай: мы обсуждаем импорт поддержки syslog в opensource. >> Если все пойдет по плану, то где-то в районе июня такая поддержка >> появится в 1.7. >> >> Документацию можно посмотреть тут: >> >> http://nginx.org/en/docs/http/ngx_http_log_module.html >> >> Ключевое слово "syslog". >> >> -- >> Maxim Konovalov >> http://nginx.com >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru at nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > > > -- > > -- > Соколов Евгений > -- -- Соколов Евгений -------------- next part -------------- An HTML attachment was scrubbed... URL: From onokonem at gmail.com Fri Apr 25 11:40:57 2014 From: onokonem at gmail.com (Daniel Podolsky) Date: Fri, 25 Apr 2014 15:40:57 +0400 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A4481.3040701@nginx.com> Message-ID: 2014-04-25 15:37 GMT+04:00 Евгений Квазар : > У нас маленький сервис, запускающийся runit-ом, создающий именованный пайм и если этот сервис встанет - встанет и nginx. так мы тоже умеем, но совсем не хотим... From mdounin at mdounin.ru Fri Apr 25 11:44:57 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Fri, 25 Apr 2014 15:44:57 +0400 Subject: nginx-1.7.0 In-Reply-To: References: <20140424131539.GB34696@mdounin.ru> <1778192.buE9Bpi8Fy@note> <20140425044643.GA29776@vl> Message-ID: <20140425114457.GO34696@mdounin.ru> Hello! On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote: > 2014-04-25 8:46 GMT+04:00 Homutov Vladimir : > > > On Fri, Apr 25, 2014 at 09:33:55AM +0700, Vadim A. Misbakh-Soloviov wrote: > > > В письме от Чт, 24 апреля 2014 17:15:39 пользователь Maxim Dounin > > написал: > > > > Изменения в nginx 1.7.0 > > 24.04.2014 > > > > > > > > *) Добавление: проверка SSL-сертификатов бэкендов. > > > > > > Отключаемая, надеюсь? > > > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_ssl_verify > > > > > Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не > всегда очевидна, а "по умолчанию 1" будет трактоваться как только один? Значение по умолчанию предполагает, что сертификаты подписаны непосредственно теми root CA, которые указаны как доверенные. Если длина цепочки не очевидна - то можно поставить, например, 9 (именно такое значение OpenSSL использует по умолчанию). -- Maxim Dounin http://nginx.org/ From esokolov.test at gmail.com Fri Apr 25 11:45:27 2014 From: esokolov.test at gmail.com (=?UTF-8?B?0JXQstCz0LXQvdC40Lkg0JrQstCw0LfQsNGA?=) Date: Fri, 25 Apr 2014 17:45:27 +0600 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: <535A4481.3040701@nginx.com> Message-ID: С чего ему вставать, если там только чтение из пайпа и просарие UDP-пакета? Если его даже прибить килом, то сервис, как я уже сказал, запущен через runit и сразу же поднимется автоматически. Эта схема работает на приличной нагрузке уже долгое время. 25 апреля 2014 г., 17:40 пользователь Daniel Podolsky написал: > 2014-04-25 15:37 GMT+04:00 Евгений Квазар : > > У нас маленький сервис, запускающийся runit-ом, создающий именованный > пайм > и если этот сервис встанет - встанет и nginx. так мы тоже умеем, но > совсем не хотим... > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- -- Соколов Евгений -------------- next part -------------- An HTML attachment was scrubbed... URL: From mdounin at mdounin.ru Fri Apr 25 11:55:53 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Fri, 25 Apr 2014 15:55:53 +0400 Subject: =?UTF-8?B?UmU6INCS0L7Qv9GA0L7RgSDQv9GA0L4gbWVyZ2Vfc2xhc2hlcw==?= In-Reply-To: <87646798.20140425153734@softsearch.ru> References: <87646798.20140425153734@softsearch.ru> Message-ID: <20140425115553.GQ34696@mdounin.ru> Hello! On Fri, Apr 25, 2014 at 03:37:34PM +0400, Михаил Монашёв wrote: > Здравствуйте. > > В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes > написано "Однако из соображений безопасности лучше избегать отключения преобразования." > > Что именно небезопасного может произойти при merge_slashes off; > > Поясню проблему. Сайт сильно спамят. Я настроил правило, которое > смотрит лог и если происходит более Х обращений вроде > POST /p/add_topic.cgi HTTP/1.1 > то ip считается подозрительным. Спамер это просёк и сейчас шлёт > запросы вот такие: > POST //p/add_topic.cgi HTTP/1.1" > > Я могу свою парсилку логов поправить, но и с директивой хотелось бы > понять проблему. Если отключить merge_slashes, то ограничения вида location /p/ { allow 127.0.0.1; deny all; ... } точно так же легко обходятся добавлением лишнего слеша. -- Maxim Dounin http://nginx.org/ From denis at webmaster.spb.ru Fri Apr 25 12:04:16 2014 From: denis at webmaster.spb.ru (denis) Date: Fri, 25 Apr 2014 16:04:16 +0400 Subject: =?UTF-8?B?UmU6INCS0L7Qv9GA0L7RgSDQv9GA0L4gbWVyZ2Vfc2xhc2hlcw==?= In-Reply-To: <87646798.20140425153734@softsearch.ru> References: <87646798.20140425153734@softsearch.ru> Message-ID: <535A4F40.80401@webmaster.spb.ru> 25.04.2014 15:37, Михаил Монашёв пишет: > Здравствуйте. > > В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes > написано "Однако из соображений безопасности лучше избегать отключения преобразования." > > Что именно небезопасного может произойти при merge_slashes off; > > Поясню проблему. Сайт сильно спамят. Я настроил правило, которое > смотрит лог и если происходит более Х обращений вроде > POST /p/add_topic.cgi HTTP/1.1 > то ip считается подозрительным. Спамер это просёк и сейчас шлёт > запросы вот такие: > POST //p/add_topic.cgi HTTP/1.1" > > Я могу свою парсилку логов поправить, но и с директивой хотелось бы > понять проблему. > #to http map $binary_remote_addr $is_post { POST $binary_remote_addr; } limit_req_zone $is_post zone=post:1m rate=12r/m; location / { limit_req zone=post burst=1 nodelay; limit_req zone=limitReqsPerIP burst=8 nodelay; ... И ловим в еррлогах 503, после чего уже банним. Вариант 2 location /login/ { if ($request_method = POST) { #limit_req zone=pmk-login; #burst=1; return 402; } error_page 402 @post; location @post { access_log post.log; limit_req zone=pmk-login; #burst=1; proxy_pass http://BE; proxy_redirect off; proxy_next_upstream error timeout invalid_header http_500 http_502 http_503; } Вариант 3 location ~* add_topic.cgi$ { и тоже лимиты, if на POST итд From chipitsine at gmail.com Fri Apr 25 12:38:03 2014 From: chipitsine at gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Fri, 25 Apr 2014 18:38:03 +0600 Subject: =?UTF-8?B?UmU6INCS0L7Qv9GA0L7RgSDQv9GA0L4gbWVyZ2Vfc2xhc2hlcw==?= In-Reply-To: <87646798.20140425153734@softsearch.ru> References: <87646798.20140425153734@softsearch.ru> Message-ID: спамеров интересует накрутка индексов цитирования. если вы поправите движок форума и вместо прямой ссылки на сайт спамера на форуме будет размещаться ссылка на вашу страничку, на которой будет предупреждение "вы хотите перейти по такому-то адресу ?", то спамерам не будет толка от вашего форума. и они от вас отстанут :-) 25 апреля 2014 г., 17:37 пользователь Михаил Монашёв написал: > Здравствуйте. > > В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes > написано "Однако из соображений безопасности лучше избегать отключения преобразования." > > Что именно небезопасного может произойти при merge_slashes off; > > Поясню проблему. Сайт сильно спамят. Я настроил правило, которое > смотрит лог и если происходит более Х обращений вроде > POST /p/add_topic.cgi HTTP/1.1 > то ip считается подозрительным. Спамер это просёк и сейчас шлёт > запросы вот такие: > POST //p/add_topic.cgi HTTP/1.1" > > Я могу свою парсилку логов поправить, но и с директивой хотелось бы > понять проблему. > > -- > С уважением, > Михаил mailto:postmaster at softsearch.ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From postmaster at softsearch.ru Fri Apr 25 13:59:10 2014 From: postmaster at softsearch.ru (=?koi8-r?B?7cnIwcnMIO3PzsHbo9c=?=) Date: Fri, 25 Apr 2014 17:59:10 +0400 Subject: =?UTF-8?B?UmVbMl06INCS0L7Qv9GA0L7RgSDQv9GA0L4gbWVyZ2Vfc2xhc2hlcw==?= In-Reply-To: References: <87646798.20140425153734@softsearch.ru> Message-ID: <68064538.20140425175910@softsearch.ru> Здравствуйте, Илья. > спамеров интересует накрутка индексов цитирования. > если вы поправите движок форума и вместо прямой ссылки на сайт спамера > на форуме будет размещаться ссылка на вашу страничку, на которой будет > предупреждение "вы хотите перейти по такому-то адресу ?", то спамерам > не будет толка от вашего форума. и они от вас отстанут :-) Расскажите это автору вот этого поста: http://beon.ru/discussion/12270-135-rvz-read.shtml -- С уважением, Михаил mailto:postmaster at softsearch.ru From nginx-forum at nginx.us Fri Apr 25 18:36:46 2014 From: nginx-forum at nginx.us (den68) Date: Fri, 25 Apr 2014 14:36:46 -0400 Subject: =?UTF-8?B?UmU6IG5naW54INC4INGB0L3QvtCy0LAgaWNlY2FzdDIgPSDQsiDRh9C10Lwg0YA=?= =?UTF-8?B?0LDQt9C90LjRhtCwPw==?= In-Reply-To: <91d427e7572d40cbcda5ec4efb69aa80.NginxMailingListRussian@forum.nginx.org> References: <91d427e7572d40cbcda5ec4efb69aa80.NginxMailingListRussian@forum.nginx.org> Message-ID: Да, всем кто будет возможно читать, nginx справедливо оказался не причем :) Выпросил кусок исходников коннекта к серверу у автора, а поскольку это ява, а значит кривая, то там должен открываться сокет с обязательным указанием порта из 4ех значений :) если порт из 2-3 значений - не работает, не зря в оракле люди зарплату получают ... :) Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249540,249640#msg-249640 From nginx-forum at nginx.us Fri Apr 25 18:48:39 2014 From: nginx-forum at nginx.us (den68) Date: Fri, 25 Apr 2014 14:48:39 -0400 Subject: =?UTF-8?B?bmdpbnggbG9jYXRpb24gcmVnZXhwIC0g0LjQtyDRhNCw0LnQu9Cw?= Message-ID: <3fd64eb7af1a45efc29a6568a2af9535.NginxMailingListRussian@forum.nginx.org> Вероятно спрошу глупость, но все-же, хотелось бы брать regexp для location из файла, в документации в явном виде не нашел.. Логика примерно следующая: location ~* /( wp-| admin| yandexml| eshop| configuration| fpw.php| engine/engine.php| webadmin| Admin| WebAdmin| webmaster| editor| fckeditor| installed| saved_ads| bitrix ) { fastcgi_pass unix:/var/run/httpd/fcgiwrap.socket; ....... } вот эти все значения, а их несколько более, хочется иметь в ином файле, желательно со строчной структурой - строка = запись. возможно-ли ? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249641,249641#msg-249641 From denis at webmaster.spb.ru Fri Apr 25 19:59:15 2014 From: denis at webmaster.spb.ru (denis) Date: Fri, 25 Apr 2014 23:59:15 +0400 Subject: =?UTF-8?B?UmU6IG5naW54IGxvY2F0aW9uIHJlZ2V4cCAtINC40Lcg0YTQsNC50LvQsA==?= In-Reply-To: <3fd64eb7af1a45efc29a6568a2af9535.NginxMailingListRussian@forum.nginx.org> References: <3fd64eb7af1a45efc29a6568a2af9535.NginxMailingListRussian@forum.nginx.org> Message-ID: <535ABE93.7090001@webmaster.spb.ru> 25.04.2014 22:48, den68 пишет: > Вероятно спрошу глупость, но все-же, хотелось бы брать regexp для location > из файла, в документации в явном виде не нашел.. конфиг перечитывается при старте. Можно попытаться запустить через Map или написать обертку на lua/perl, но лучше написать парсер-генератор конфигов, у меня нечто подобное сделано для allow from на кучу айпи, автореген на хуке на коммит в свн. Добавляем айпи, коммитим - на сервер выкатывается свежий конфиг и релоад. А еще правильнее просто описать эти секции в 1 или нескольких инклудах и подключать в нужные проекты, такое у нас тоже есть. Также возможно стоит смотреть в сторону naxsi, это что-то типа mod_security, а может и на версию секурити для нгинха, вроде как уже была стабильная версия. И там можно описать сильно больше возможностей. From mva at mva.name Sat Apr 26 04:41:12 2014 From: mva at mva.name (Vadim A. Misbakh-Soloviov) Date: Sat, 26 Apr 2014 11:41:12 +0700 Subject: nginx-1.7.0 In-Reply-To: <20140425114457.GO34696@mdounin.ru> References: <20140424131539.GB34696@mdounin.ru> <20140425114457.GO34696@mdounin.ru> Message-ID: <1488617.Cc7lr1iBrM@note> В письме от Пт, 25 апреля 2014 15:44:57 пользователь Maxim Dounin написал: > On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote: > > Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не > > всегда очевидна, а "по умолчанию 1" будет трактоваться как только один? > > Значение по умолчанию предполагает, что сертификаты подписаны > непосредственно теми root CA, которые указаны как доверенные. > Если длина цепочки не очевидна - то можно поставить, например, 9 > (именно такое значение OpenSSL использует по умолчанию). Мне больше интересно про "поставить 0" (будет ли подразумеваться не проверять CA или будет какой-то side-effect (проверять, конечно же, лень :D) -- Best regsrds, mva -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 836 bytes Desc: This is a digitally signed message part. URL: From mva at mva.name Sat Apr 26 04:45:51 2014 From: mva at mva.name (Vadim A. Misbakh-Soloviov) Date: Sat, 26 Apr 2014 11:45:51 +0700 Subject: =?UTF-8?B?UmU6INC70L7Qs9C40YDQvtCy0LDQvdC40LUg0L/QviBVRFA=?= In-Reply-To: References: Message-ID: <3269099.meCFm9nqxB@note> В письме от Пт, 25 апреля 2014 17:45:27 пользователь Евгений Квазар написал: > Если его даже прибить килом, то сервис, как я уже сказал, запущен через > runit и сразу же поднимется автоматически. > Эта схема работает на приличной нагрузке уже долгое время. Это у вас grsec нету ;) -- Best regsrds, mva -------------- next part -------------- A non-text attachment was scrubbed... Name: signature.asc Type: application/pgp-signature Size: 836 bytes Desc: This is a digitally signed message part. URL: From chipitsine at gmail.com Sat Apr 26 13:08:33 2014 From: chipitsine at gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Sat, 26 Apr 2014 19:08:33 +0600 Subject: =?UTF-8?B?UmU6IFJlWzJdOiDQktC+0L/RgNC+0YEg0L/RgNC+IG1lcmdlX3NsYXNoZXM=?= In-Reply-To: <68064538.20140425175910@softsearch.ru> References: <87646798.20140425153734@softsearch.ru> <68064538.20140425175910@softsearch.ru> Message-ID: я лучше расскажу вам, что 1) вместо поста меня кидает на главную страницу 2) дизайн сайта попугайско-вырвиглазный, хочется браузер закрыть и никогда больше не ходить на этот сайт 3) при попытке "зайти" вижу, что через соц. сеть нельзя, надо заполнять анкету на 5 страниц. фу. 25 апреля 2014 г., 19:59 пользователь Михаил Монашёв написал: > Здравствуйте, Илья. > >> спамеров интересует накрутка индексов цитирования. >> если вы поправите движок форума и вместо прямой ссылки на сайт спамера >> на форуме будет размещаться ссылка на вашу страничку, на которой будет >> предупреждение "вы хотите перейти по такому-то адресу ?", то спамерам >> не будет толка от вашего форума. и они от вас отстанут :-) > > Расскажите это автору вот этого поста: http://beon.ru/discussion/12270-135-rvz-read.shtml > > -- > С уважением, > Михаил mailto:postmaster at softsearch.ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From vadim.lazovskiy at gmail.com Mon Apr 28 09:22:08 2014 From: vadim.lazovskiy at gmail.com (Vadim Lazovskiy) Date: Mon, 28 Apr 2014 13:22:08 +0400 Subject: =?UTF-8?B?REFWICsg0LLRi9C00LXQu9C10L3QuNC1IHJlZ2V4ICsgYWxpYXM=?= Message-ID: Здравствуйте. Нужно разложить скиншоты по папкам и с таймстампом в имени файла. Вот конфиг: server_name s2.domain.example.com; ... location /s/archive/ { location ~ "^/s/archive/screenshots/(?(?\d{8})\d{4})/(?\d+).(?[a-z0-9]+)$" { limit_except GET { allow 10.10.1.18; deny all; } dav_methods PUT; create_full_put_path on; dav_access group:rw all:r; alias /disks/screenshots/$dir/$basename-$timestamp.$ext; client_body_temp_path /disks/tmp; } ... } Вот запрос: 10.10.1.18 - - [28/Apr/2014:12:59:12 +0400] "PUT /s/archive/screenshots/201404281043/0000000142.jpg HTTP/1.1" 201 25 "-" "curl/7.26.0" Вот фрагмент debug-лога: 2014/04/28 12:59:12 [debug] 5297#0: *404 http run request: "/s/archive/screenshots/201404281043/0000000142.jpg?" 2014/04/28 12:59:12 [debug] 5297#0: *404 http read client request body 2014/04/28 12:59:12 [debug] 5297#0: *404 recv: fd:17 3592 of 3592 2014/04/28 12:59:12 [debug] 5297#0: *404 http client request body recv 3592 2014/04/28 12:59:12 [debug] 5297#0: *404 http body new buf t:1 f:0 0000000001EC7E00, pos 0000000001EC7E00, size: 5200 file: 0, size: 0 2014/04/28 12:59:12 [debug] 5297#0: *404 http client request body rest 0 2014/04/28 12:59:12 [debug] 5297#0: *404 event timer del: 17: 1398675612105 2014/04/28 12:59:12 [debug] 5297#0: *404 http write client request body, bufs 0000000001EBF818 2014/04/28 12:59:12 [debug] 5297#0: *404 write: 19, 0000000001EC7E00, 5200, 98304 2014/04/28 12:59:12 [debug] 5297#0: *404 http script copy: "/disks/screenshots/" 2014/04/28 12:59:12 [debug] 5297#0: *404 http script var: "20140428" 2014/04/28 12:59:12 [debug] 5297#0: *404 http script copy: "/" 2014/04/28 12:59:12 [debug] 5297#0: *404 http script var: "0000000142" 2014/04/28 12:59:12 [debug] 5297#0: *404 http script copy: "-" 2014/04/28 12:59:12 [debug] 5297#0: *404 http script var: "201404281043" 2014/04/28 12:59:12 [debug] 5297#0: *404 http script copy: "." 2014/04/28 12:59:12 [debug] 5297#0: *404 http script var: "jpg" 2014/04/28 12:59:12 [debug] 5297#0: *404 http put filename: "/disks/screenshots/20140428/ 0000000142-201404281043.jpgs2.domain.example.com" 2014/04/28 12:59:12 [debug] 5297#0: *404 HTTP/1.1 201 Created Server: nginx/1.7.0 Date: Mon, 28 Apr 2014 08:59:12 GMT Content-Length: 0 Location: http://s2.domain.example.com/s/archive/screenshots/201404281043/0000000142.jpg Connection: keep-alive Ну и результат: # find /disks/screenshots/ /disks/screenshots/ /disks/screenshots/20140428 /disks/screenshots/20140428/0000000142-201404281043.jpgs2.domain.example.com Версия: # /usr/sbin/nginx.debug -V nginx version: nginx/1.7.0 built by gcc 4.7.2 (Debian 4.7.2-5) TLS SNI support enabled configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-mail --with-mail_ssl_module --with-file-aio --with-http_spdy_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,--as-needed' --with-ipv6 --with-debug Вопрос. Откуда берется домен в имени файла и как это побороть? Спасибо! -- Best Regards, Vadim Lazovskiy -------------- next part -------------- An HTML attachment was scrubbed... URL: From mdounin at mdounin.ru Mon Apr 28 12:31:23 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Mon, 28 Apr 2014 16:31:23 +0400 Subject: nginx-1.7.0 In-Reply-To: <1488617.Cc7lr1iBrM@note> References: <20140424131539.GB34696@mdounin.ru> <20140425114457.GO34696@mdounin.ru> <1488617.Cc7lr1iBrM@note> Message-ID: <20140428123123.GZ34696@mdounin.ru> Hello! On Sat, Apr 26, 2014 at 11:41:12AM +0700, Vadim A. Misbakh-Soloviov wrote: > В письме от Пт, 25 апреля 2014 15:44:57 пользователь Maxim Dounin написал: > > On Fri, Apr 25, 2014 at 12:11:55PM +0400, Dmitry wrote: > > > Не совсем понятно, что делать с proxy_ssl_verify_depth? Длина цепочки не > > > всегда очевидна, а "по умолчанию 1" будет трактоваться как только один? > > > > Значение по умолчанию предполагает, что сертификаты подписаны > > непосредственно теми root CA, которые указаны как доверенные. > > Если длина цепочки не очевидна - то можно поставить, например, 9 > > (именно такое значение OpenSSL использует по умолчанию). > > Мне больше интересно про "поставить 0" (будет ли подразумеваться не проверять > CA или будет какой-то side-effect (проверять, конечно же, лень :D) Если поставить 0, то проверку будут проходить только самоподписанные сертификаты. Подробное описание можно почерпнуть из man SSL_CTX_set_verify_depth: SSL_CTX_set_verify_depth() and SSL_set_verify_depth() set the limit up to which depth certificates in a chain are used during the verification procedure. If the certificate chain is longer than allowed, the certificates above the limit are ignored. Error messages are generated as if these certificates would not be present, most likely a X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY will be issued. The depth count is "level 0:peer certificate", "level 1: CA certificate", "level 2: higher level CA certificate", and so on. Setting the maximum depth to 2 allows the levels 0, 1, and 2. The default depth limit is 9, allowing for the peer certificate and additional 9 CA certificates. -- Maxim Dounin http://nginx.org/ From mdounin at mdounin.ru Mon Apr 28 18:31:25 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Mon, 28 Apr 2014 22:31:25 +0400 Subject: =?UTF-8?B?UmU6IERBViArINCy0YvQtNC10LvQtdC90LjQtSByZWdleCArIGFsaWFz?= In-Reply-To: References: Message-ID: <20140428183125.GN34696@mdounin.ru> Hello! On Mon, Apr 28, 2014 at 01:22:08PM +0400, Vadim Lazovskiy wrote: > Здравствуйте. > > Нужно разложить скиншоты по папкам и с таймстампом в имени файла. Вот > конфиг: > > server_name s2.domain.example.com; > > ... > > location /s/archive/ { > location ~ > "^/s/archive/screenshots/(?(?\d{8})\d{4})/(?\d+).(?[a-z0-9]+)$" > { > > limit_except GET { > allow 10.10.1.18; > deny all; > } > > dav_methods PUT; > create_full_put_path on; > dav_access group:rw all:r; > > alias /disks/screenshots/$dir/$basename-$timestamp.$ext; > client_body_temp_path /disks/tmp; > } > > ... > > } > > Вот запрос: > > 10.10.1.18 - - [28/Apr/2014:12:59:12 +0400] "PUT > /s/archive/screenshots/201404281043/0000000142.jpg HTTP/1.1" 201 25 "-" > "curl/7.26.0" > > Вот фрагмент debug-лога: [...] > 2014/04/28 12:59:12 [debug] 5297#0: *404 http script var: "201404281043" > 2014/04/28 12:59:12 [debug] 5297#0: *404 http script copy: "." > 2014/04/28 12:59:12 [debug] 5297#0: *404 http script var: "jpg" > 2014/04/28 12:59:12 [debug] 5297#0: *404 http put filename: > "/disks/screenshots/20140428/ > 0000000142-201404281043.jpgs2.domain.example.com" [...] > Ну и результат: > > # find /disks/screenshots/ > /disks/screenshots/ > /disks/screenshots/20140428 > /disks/screenshots/20140428/0000000142-201404281043.jpgs2.domain.example.com [...] > Вопрос. Откуда берется домен в имени файла и как это побороть? Выглядит как баг regex location + alias + limit_except/if. Собственно, для случая if он уже давно задокументирован на http://wiki.nginx.org/IfIsEvil. Патч, видимо, какой-то такой: # HG changeset patch # User Maxim Dounin # Date 1398709755 -14400 # Mon Apr 28 22:29:15 2014 +0400 # Node ID cf4f92f40290c9d3b8a8fb8cf836d3ebd16224f5 # Parent 539635cb8e98063b116555bdfd0c5ccfbfa8f184 Fixed alias in regex locations with limit_except/if. The ngx_http_map_uri_to_path() function uses clcf->regex to detect if it's working within a location given by a regular expression. Its behaviour was incorrect due to clcf->regex being false in implicit locations created by if and limit_except. Fix is to preserve clcf->regex within implicit locations. diff --git a/src/http/modules/ngx_http_rewrite_module.c b/src/http/modules/ngx_http_rewrite_module.c --- a/src/http/modules/ngx_http_rewrite_module.c +++ b/src/http/modules/ngx_http_rewrite_module.c @@ -583,6 +583,7 @@ ngx_http_rewrite_if(ngx_conf_t *cf, ngx_ clcf = ctx->loc_conf[ngx_http_core_module.ctx_index]; clcf->loc_conf = ctx->loc_conf; clcf->name = pclcf->name; + clcf->regex = pclcf->regex; clcf->noname = 1; if (ngx_http_add_location(cf, &pclcf->locations, clcf) != NGX_OK) { diff --git a/src/http/ngx_http_core_module.c b/src/http/ngx_http_core_module.c --- a/src/http/ngx_http_core_module.c +++ b/src/http/ngx_http_core_module.c @@ -4597,6 +4597,7 @@ ngx_http_core_limit_except(ngx_conf_t *c pclcf->limit_except_loc_conf = ctx->loc_conf; clcf->loc_conf = ctx->loc_conf; clcf->name = pclcf->name; + clcf->regex = pclcf->regex; clcf->noname = 1; clcf->lmt_excpt = 1; -- Maxim Dounin http://nginx.org/ From vadim.lazovskiy at gmail.com Tue Apr 29 05:51:27 2014 From: vadim.lazovskiy at gmail.com (Vadim Lazovskiy) Date: Tue, 29 Apr 2014 09:51:27 +0400 Subject: =?UTF-8?B?UmU6IERBViArINCy0YvQtNC10LvQtdC90LjQtSByZWdleCArIGFsaWFz?= In-Reply-To: <20140428183125.GN34696@mdounin.ru> References: <20140428183125.GN34696@mdounin.ru> Message-ID: Максим, большое спасибо. С патчем все работает как надо. А какова вероятность, что этот патч попадет в mainline? 2014-04-28 22:31 GMT+04:00 Maxim Dounin : > Hello! > > On Mon, Apr 28, 2014 at 01:22:08PM +0400, Vadim Lazovskiy wrote: > > > Вопрос. Откуда берется домен в имени файла и как это побороть? > > Выглядит как баг regex location + alias + limit_except/if. > Собственно, для случая if он уже давно задокументирован на > http://wiki.nginx.org/IfIsEvil. > > Патч, видимо, какой-то такой: > > # HG changeset patch > # User Maxim Dounin > # Date 1398709755 -14400 > # Mon Apr 28 22:29:15 2014 +0400 > # Node ID cf4f92f40290c9d3b8a8fb8cf836d3ebd16224f5 > # Parent 539635cb8e98063b116555bdfd0c5ccfbfa8f184 > Fixed alias in regex locations with limit_except/if. > > The ngx_http_map_uri_to_path() function uses clcf->regex to detect if > it's working within a location given by a regular expression. Its > behaviour was incorrect due to clcf->regex being false in implicit > locations > created by if and limit_except. Fix is to preserve clcf->regex within > implicit locations. > > diff --git a/src/http/modules/ngx_http_rewrite_module.c > b/src/http/modules/ngx_http_rewrite_module.c > --- a/src/http/modules/ngx_http_rewrite_module.c > +++ b/src/http/modules/ngx_http_rewrite_module.c > @@ -583,6 +583,7 @@ ngx_http_rewrite_if(ngx_conf_t *cf, ngx_ > clcf = ctx->loc_conf[ngx_http_core_module.ctx_index]; > clcf->loc_conf = ctx->loc_conf; > clcf->name = pclcf->name; > + clcf->regex = pclcf->regex; > clcf->noname = 1; > > if (ngx_http_add_location(cf, &pclcf->locations, clcf) != NGX_OK) { > diff --git a/src/http/ngx_http_core_module.c > b/src/http/ngx_http_core_module.c > --- a/src/http/ngx_http_core_module.c > +++ b/src/http/ngx_http_core_module.c > @@ -4597,6 +4597,7 @@ ngx_http_core_limit_except(ngx_conf_t *c > pclcf->limit_except_loc_conf = ctx->loc_conf; > clcf->loc_conf = ctx->loc_conf; > clcf->name = pclcf->name; > + clcf->regex = pclcf->regex; > clcf->noname = 1; > clcf->lmt_excpt = 1; > > > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Best Regards, Vadim Lazovskiy -------------- next part -------------- An HTML attachment was scrubbed... URL: From vadim.lazovskiy at gmail.com Tue Apr 29 06:18:31 2014 From: vadim.lazovskiy at gmail.com (Vadim Lazovskiy) Date: Tue, 29 Apr 2014 10:18:31 +0400 Subject: =?UTF-8?B?UmU6IERBViArINCy0YvQtNC10LvQtdC90LjQtSByZWdleCArIGFsaWFz?= In-Reply-To: <20140428183125.GN34696@mdounin.ru> References: <20140428183125.GN34696@mdounin.ru> Message-ID: Нет, поторопился. Сломались другие location с проксированием вот такого вида: location /s/ ... location /s/private/ { location ~ "^/s/private/(?.*)/(?\d+)/(?\d{10})\.m3u8$" { secure_link $token,$expires; secure_link_md5 "..."; if ($secure_link = "") { return 403; } if ($secure_link = "0") { return 410; } fastcgi_pass 127.0.0.1:9000; fastcgi_param SCRIPT_FILENAME $document_root/m3u8.php; include fastcgi_params; fastcgi_param QUERY_STRING id=$id&$args; } } } 2014/04/29 09:56:08 [debug] 3630#0: *240 test location: ~ "^/s/private/(?.*)/(?\d+)/(?\d{10})\.m3u8$" 2014/04/29 09:56:08 [debug] 3630#0: *240 http regex set $id to "0000000977" 2014/04/29 09:56:08 [debug] 3630#0: *240 http regex set $expires to "1398801600" 2014/04/29 09:56:08 [debug] 3630#0: *240 http regex set $token to "XXXXXXXXXXXXXXXXXXXXX" 2014/04/29 09:56:08 [debug] 3630#0: *240 test location: ~ "^/s/private/(?.*)/(?\d+)/(?\d{10})\.m3u8$" 2014/04/29 09:56:08 [debug] 3630#0: *240 http regex set $id to "0000000977" 2014/04/29 09:56:08 [debug] 3630#0: *240 http regex set $expires to "1398801600" 2014/04/29 09:56:08 [debug] 3630#0: *240 http regex set $token to "XXXXXXXXXXXXXXXXXXXXX" 2014/04/29 09:56:08 [debug] 3630#0: *240 using configuration "*^/s/private/(?.*)/(?\d+)/(?\d{10})\.m3u8$" 2014/04/29 09:56:08 [debug] 3630#0: *240 http cl:-1 max:1048576 2014/04/29 09:56:08 [debug] 3630#0: *240 rewrite phase: 3 2014/04/29 09:56:08 [debug] 3630#0: *240 post rewrite phase: 4 2014/04/29 09:56:08 [debug] 3630#0: *240 generic phase: 5 2014/04/29 09:56:08 [debug] 3630#0: *240 generic phase: 6 2014/04/29 09:56:08 [debug] 3630#0: *240 generic phase: 7 2014/04/29 09:56:08 [debug] 3630#0: *240 access phase: 8 2014/04/29 09:56:08 [debug] 3630#0: *240 access phase: 9 2014/04/29 09:56:08 [debug] 3630#0: *240 access phase: 10 2014/04/29 09:56:08 [debug] 3630#0: *240 post access phase: 11 2014/04/29 09:56:08 [debug] 3630#0: *240 content phase: 12 2014/04/29 09:56:08 [debug] 3630#0: *240 content phase: 13 2014/04/29 09:56:08 [debug] 3630#0: *240 content phase: 14 2014/04/29 09:56:08 [debug] 3630#0: *240 content phase: 15 2014/04/29 09:56:08 [debug] 3630#0: *240 content phase: 16 2014/04/29 09:56:08 [debug] 3630#0: *240 content phase: 17 2014/04/29 09:56:08 [debug] 3630#0: *240 http filename: "/var/www/vhosts/ s2.domain.example.com /s/private/XXXXXXXXXXXXXXXXXXXXX/1398801600/0000000977.m3u8 " Пытается отдать файл вместо проксирования. 2014-04-28 22:31 GMT+04:00 Maxim Dounin : > Hello! > > On Mon, Apr 28, 2014 at 01:22:08PM +0400, Vadim Lazovskiy wrote: > > > Вопрос. Откуда берется домен в имени файла и как это побороть? > > Выглядит как баг regex location + alias + limit_except/if. > Собственно, для случая if он уже давно задокументирован на > http://wiki.nginx.org/IfIsEvil. > > Патч, видимо, какой-то такой: > > # HG changeset patch > # User Maxim Dounin > # Date 1398709755 -14400 > # Mon Apr 28 22:29:15 2014 +0400 > # Node ID cf4f92f40290c9d3b8a8fb8cf836d3ebd16224f5 > # Parent 539635cb8e98063b116555bdfd0c5ccfbfa8f184 > Fixed alias in regex locations with limit_except/if. > > The ngx_http_map_uri_to_path() function uses clcf->regex to detect if > it's working within a location given by a regular expression. Its > behaviour was incorrect due to clcf->regex being false in implicit > locations > created by if and limit_except. Fix is to preserve clcf->regex within > implicit locations. > > diff --git a/src/http/modules/ngx_http_rewrite_module.c > b/src/http/modules/ngx_http_rewrite_module.c > --- a/src/http/modules/ngx_http_rewrite_module.c > +++ b/src/http/modules/ngx_http_rewrite_module.c > @@ -583,6 +583,7 @@ ngx_http_rewrite_if(ngx_conf_t *cf, ngx_ > clcf = ctx->loc_conf[ngx_http_core_module.ctx_index]; > clcf->loc_conf = ctx->loc_conf; > clcf->name = pclcf->name; > + clcf->regex = pclcf->regex; > clcf->noname = 1; > > if (ngx_http_add_location(cf, &pclcf->locations, clcf) != NGX_OK) { > diff --git a/src/http/ngx_http_core_module.c > b/src/http/ngx_http_core_module.c > --- a/src/http/ngx_http_core_module.c > +++ b/src/http/ngx_http_core_module.c > @@ -4597,6 +4597,7 @@ ngx_http_core_limit_except(ngx_conf_t *c > pclcf->limit_except_loc_conf = ctx->loc_conf; > clcf->loc_conf = ctx->loc_conf; > clcf->name = pclcf->name; > + clcf->regex = pclcf->regex; > clcf->noname = 1; > clcf->lmt_excpt = 1; > > > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru at nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Best Regards, Vadim Lazovskiy -------------- next part -------------- An HTML attachment was scrubbed... URL: From nginx-forum at nginx.us Tue Apr 29 20:51:18 2014 From: nginx-forum at nginx.us (saaleb) Date: Tue, 29 Apr 2014 16:51:18 -0400 Subject: =?UTF-8?B?UmU6INC80L7QtNGD0LvRjCBuZ2lueCDQtNC70Y8g0YDQsNCx0L7RgtGLINGBINCx?= =?UTF-8?B?0LvQvtC60LjRgNGD0Y7RidC10Lkg0L7Qv9C10YDQsNGG0LjQtdC5?= In-Reply-To: <20140421141900.GF34696@mdounin.ru> References: <20140421141900.GF34696@mdounin.ru> Message-ID: И снова здравствуйте. Изучал upstream модули как идущие в комплекте, так и сторонние, но есть некоторые неясные моменты. 1. create_request - тут создаем запрос, передаем его upstream. Немного непонятно, как именно идет взаимодействие с upstream. Мне, например, требуется сформировать структуру из запроса и вызвать определенную функцию из сторонней библиотеки. Назовем ее send(). Могу ли я вызвать эту функцию из create_request или нужно использовать более низкий уровень для совмещения моего send() и механизма работы с upstream? 2. process_header - это, как я понял, callback, выполняемый при начале передачи ответа от upsream. По аналогии с п1, например, у меня есть функция recv() - как блокирующий так и неблокирующий вариант, как мне использовать мой recv() в данном случае? Могу ли я повесить, допустим, callback на наличие данных в recv() или придется что-то городить на более низком уровне работы с upstream? И еще один вопрос, немного не по теме. В какую сумму, по-вашему, можно оценить разработку модуля примерно такого типа, как я описал в первом сообщении? Спасибо. Posted at Nginx Forum: http://forum.nginx.org/read.php?21,249424,249745#msg-249745 From citrin at citrin.ru Wed Apr 30 09:18:21 2014 From: citrin at citrin.ru (Anton Yuzhaninov) Date: Wed, 30 Apr 2014 13:18:21 +0400 Subject: CVE-2010-5298 Message-ID: <5360BFDD.5040309@citrin.ru> Подвержен ли nginx этой уязвимости в openssl: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-5298 ? grep по исходникам показывает наличие SSL_CTX_set_mode(ssl->ctx, SSL_MODE_RELEASE_BUFFERS); From vbart at nginx.com Wed Apr 30 10:05:11 2014 From: vbart at nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Wed, 30 Apr 2014 14:05:11 +0400 Subject: CVE-2010-5298 In-Reply-To: <5360BFDD.5040309@citrin.ru> References: <5360BFDD.5040309@citrin.ru> Message-ID: <19165983.Ak2yom2K7v@vbart-laptop> On Wednesday 30 April 2014 13:18:21 Anton Yuzhaninov wrote: > Подвержен ли nginx этой уязвимости в openssl: > http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-5298 > ? > > grep по исходникам показывает наличие > SSL_CTX_set_mode(ssl->ctx, SSL_MODE_RELEASE_BUFFERS); > Если верить описанию "in a multithreaded environment", а nginx к таковым не относится. -- Валентин Бартенев From self at alaz.me Wed Apr 30 10:17:43 2014 From: self at alaz.me (Alexander Azarov) Date: Wed, 30 Apr 2014 14:17:43 +0400 Subject: =?UTF-8?B?WC1BY2NlbC1SZWRpcmVjdCAmINC90LXQstC+0LfQvNC+0LbQvdC+INCy0YvRgNC1?= =?UTF-8?B?0LfQsNGC0YwgU2V0LUNvb2tpZQ==?= Message-ID: Здравствуйте, У меня есть бекенд, который любит всегда возвращать Set-Cookie. Я от него получаю X-Accel-Redirect и хочу чтобы в ответе от Nginx не было Set-Cookie. У меня не получается этого добиться. Версия Nginx: $ nginx -V nginx version: nginx/1.4.7 TLS SNI support enabled configure arguments: --prefix=/opt/local --with-cc-opt='-I/opt/local/include -Os' --with-ld-opt='-L/opt/local/lib -Wl,-headerpad_max_install_names' --conf-path=/opt/local/etc/nginx/nginx.conf --error-log-path=/opt/local/var/log/nginx/error.log --http-log-path=/opt/local/var/log/nginx/access.log --pid-path=/opt/local/var/run/nginx/nginx.pid --lock-path=/opt/local/var/run/nginx/nginx.lock --http-client-body-temp-path=/opt/local/var/run/nginx/client_body_temp --http-proxy-temp-path=/opt/local/var/run/nginx/proxy_temp --http-fastcgi-temp-path=/opt/local/var/run/nginx/fastcgi_temp --http-uwsgi-temp-path=/opt/local/var/run/nginx/uwsgi_temp --with-ipv6 --with-http_gzip_static_module --with-http_image_filter_module --with-http_perl_module --with-perl=/opt/local/bin/perl --with-http_realip_module --with-http_secure_link_module --with-http_ssl_module --with-http_stub_status_module Конфиг: server { server_name _; listen *:80; location /a { proxy_hide_header Set-Cookie; proxy_ignore_headers "Set-Cookie"; proxy_pass http://r9:5000/api/5; } location /b { proxy_hide_header Set-Cookie; proxy_ignore_headers "Set-Cookie" "X-Accel-Redirect"; proxy_pass http://r9:5000/api/5; } location /_x { add_header X-Uri $uri; return 204; } } Результаты: $ curl -i http://127.0.0.1/a HTTP/1.1 204 No Content Server: nginx/1.4.7 Date: Wed, 30 Apr 2014 10:12:15 GMT Connection: keep-alive Set-Cookie: PLAY_SESSION="bcf94e2996bcb8885056bea401ffb0f53dd44577-csrfToken=55a3490742002528628151751e509e57316a92b8-1398852735621-c5dae9d9b61fddafa51a0ba3"; Path=/; HTTPOnly X-Uri: /_x/5 $ curl -i http://127.0.0.1/b HTTP/1.1 204 No Content Server: nginx/1.4.7 Date: Wed, 30 Apr 2014 10:12:17 GMT Content-Length: 0 Connection: keep-alive Можно ли вырезать Set-Cookie от сервера, вернувшего X-Accel-Redirect? С уважением, Александр -------------- next part -------------- An HTML attachment was scrubbed... URL: From citrin at citrin.ru Wed Apr 30 10:18:14 2014 From: citrin at citrin.ru (Anton Yuzhaninov) Date: Wed, 30 Apr 2014 14:18:14 +0400 Subject: CVE-2010-5298 In-Reply-To: <19165983.Ak2yom2K7v@vbart-laptop> References: <5360BFDD.5040309@citrin.ru> <19165983.Ak2yom2K7v@vbart-laptop> Message-ID: <5360CDE6.2050406@citrin.ru> On 04/30/14 14:05, Валентин Бартенев wrote: > On Wednesday 30 April 2014 13:18:21 Anton Yuzhaninov wrote: >> Подвержен ли nginx этой уязвимости в openssl: >> http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-5298 >> ? >> >> grep по исходникам показывает наличие >> SSL_CTX_set_mode(ssl->ctx, SSL_MODE_RELEASE_BUFFERS); >> > > Если верить описанию "in a multithreaded environment", > а nginx к таковым не относится. Во FreeBSD-шном SA формулировка более общая: The buffer may be released before the library have finished using it. It is possible that a different SSL connection in the same process would use the released buffer and write data into it. From mdounin at mdounin.ru Wed Apr 30 13:53:53 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 30 Apr 2014 17:53:53 +0400 Subject: CVE-2010-5298 In-Reply-To: <5360CDE6.2050406@citrin.ru> References: <5360BFDD.5040309@citrin.ru> <19165983.Ak2yom2K7v@vbart-laptop> <5360CDE6.2050406@citrin.ru> Message-ID: <20140430135353.GE34696@mdounin.ru> Hello! On Wed, Apr 30, 2014 at 02:18:14PM +0400, Anton Yuzhaninov wrote: > On 04/30/14 14:05, Валентин Бартенев wrote: > >On Wednesday 30 April 2014 13:18:21 Anton Yuzhaninov wrote: > >>Подвержен ли nginx этой уязвимости в openssl: > >>http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-5298 > >>? > >> > >>grep по исходникам показывает наличие > >>SSL_CTX_set_mode(ssl->ctx, SSL_MODE_RELEASE_BUFFERS); > >> > > > >Если верить описанию "in a multithreaded environment", > >а nginx к таковым не относится. > > Во FreeBSD-шном SA формулировка более общая: > > The buffer may be released before the library have finished using it. It is > possible that a different SSL connection in the same process would use the > released buffer and write data into it. Есть мнение, что реальный impact у проблемы - сводится к тому, что оно просто не работает. А какого-либо security impact'а на самом деле нет, т.к. просто возникает ошибка. Именно ошибки в nginx'е и наблюдаются: http://trac.nginx.org/nginx/ticket/215 -- Maxim Dounin http://nginx.org/ From mdounin at mdounin.ru Wed Apr 30 14:12:43 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 30 Apr 2014 18:12:43 +0400 Subject: =?UTF-8?B?UmU6IFgtQWNjZWwtUmVkaXJlY3QgJiDQvdC10LLQvtC30LzQvtC20L3QviDQstGL?= =?UTF-8?B?0YDQtdC30LDRgtGMIFNldC1Db29raWU=?= In-Reply-To: References: Message-ID: <20140430141242.GG34696@mdounin.ru> Hello! On Wed, Apr 30, 2014 at 02:17:43PM +0400, Alexander Azarov wrote: > У меня есть бекенд, который любит всегда возвращать Set-Cookie. Я от него > получаю X-Accel-Redirect и хочу чтобы в ответе от Nginx не было Set-Cookie. > У меня не получается этого добиться. [...] > Можно ли вырезать Set-Cookie от сервера, вернувшего X-Accel-Redirect? Сейчас - только с помощью дополнительного уровня проксирования (с "proxy_ignore_headers X-Accel-Redirect" и proxy_hide_headers). -- Maxim Dounin http://nginx.org/ From mdounin at mdounin.ru Wed Apr 30 14:18:54 2014 From: mdounin at mdounin.ru (Maxim Dounin) Date: Wed, 30 Apr 2014 18:18:54 +0400 Subject: =?UTF-8?B?UmU6INC80L7QtNGD0LvRjCBuZ2lueCDQtNC70Y8g0YDQsNCx0L7RgtGLINGBINCx?= =?UTF-8?B?0LvQvtC60LjRgNGD0Y7RidC10Lkg0L7Qv9C10YDQsNGG0LjQtdC5?= In-Reply-To: References: <20140421141900.GF34696@mdounin.ru> Message-ID: <20140430141854.GH34696@mdounin.ru> Hello! On Tue, Apr 29, 2014 at 04:51:18PM -0400, saaleb wrote: > И снова здравствуйте. > > Изучал upstream модули как идущие в комплекте, так и сторонние, но есть > некоторые неясные моменты. > > 1. create_request - тут создаем запрос, передаем его upstream. Немного > непонятно, как именно идет взаимодействие с upstream. Мне, например, > требуется сформировать структуру из запроса и вызвать определенную функцию > из сторонней библиотеки. Назовем ее send(). Могу ли я вызвать эту функцию из > create_request или нужно использовать более низкий уровень для совмещения > моего send() и механизма работы с upstream? Взаимодействием собственно с бекендами занимается сам модуль upstream. Задача реализации протокола - сформировать запрос, который будет отправлен. Если вам требуется для отправки запроса использовать стороннюю библиотеку - модуль upstream вам не подойдёт. -- Maxim Dounin http://nginx.org/