
<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 12 июл. 2022 г. в 18:46, Gena Makhomed <<a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10.07.2022 11:41, Maxim Dounin wrote:<br>


<br>


> Вы чуть раньше в этом треде писали Илье, "client sent plain HTTP<br>


> request to HTTPS port".  Как и другие ошибки в клиентских<br>


> запросах, эти ошибки логгируются на уровне info.<br>


<br>


nginx/1.23.0 из официального репозитория <a href="http://nginx.org" rel="noreferrer" target="_blank">nginx.org</a><br>


<br>


В error.log есть такая запись:<br>


<br>


2022/07/12 16:00:00 [error] 16594#16594: *21415 access forbidden by <br>


rule, client: 62.46.205.111, server: <a href="http://gitlab.example.com" rel="noreferrer" target="_blank">gitlab.example.com</a>, request: "GET <br>


/api/v4/user HTTP/2.0", host: "<a href="http://gitlab.example.com" rel="noreferrer" target="_blank">gitlab.example.com</a>"<br>


<br>


То, что какому-то клиенту возвращается 403 статус - разве это ошибка,<br>


которую необходимо писать в error.log на уровне [error] а не [info] ?<br>


<br>


Кстати, директивы limit_conn_log_level и limit_req_log_level<br>


зачем-то по умолчанию стоят на уровне error, как будто это есть<br>


ошибка на стороне сервера, если какому-то клиенту будет запрещен<br>


доступ.<br></blockquote><div><br></div><div>эта штука выглядит на первый взгляд противоречащей логике, но при изучении документации, понимаешь, как с этим жить,</div><div>кажется, что те или иные настройки по умолчанию, при условии, что их можно поменять, это не проблема.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<br>


Директива deny_log_level в nginx вообще отсутствует.<br></blockquote><div><br></div><div>отсутствие возможности поменять - да, это реальная проблема </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<br>


Может быть имеет смысл сделать директиву deny_log_level<br>


и для всех трех директив: limit_conn_log_level,<br>


limit_req_log_level и deny_log_level сделать значением<br>


по умолчанию info ?<br>


<br>


Это было бы логично и соответствовало бы общему правилу,<br>


что все ошибки в клиентских запросах логгируются на уровне info.<br>


<br>


P.S.<br>


<br>


Конфиг /etc/nginx/conf.d/gitlab.example.com.conf:<br>


<br>


server {<br>


<br>


     listen 443 ssl http2;<br>


<br>


     server_name <a href="http://gitlab.example.com" rel="noreferrer" target="_blank">gitlab.example.com</a>;<br>


<br>


     ssl_certificate <br>


/etc/letsencrypt/live/<a href="http://gitlab.example.com/fullchain.pem" rel="noreferrer" target="_blank">gitlab.example.com/fullchain.pem</a>;<br>


     ssl_certificate_key <br>


/etc/letsencrypt/live/<a href="http://gitlab.example.com/privkey.pem" rel="noreferrer" target="_blank">gitlab.example.com/privkey.pem</a>;<br>


<br>


     location / {<br>


         allow 111.222.33.144;<br>


         allow 172.17.113.100;<br>


         allow 172.17.113.101;<br>


         allow 172.17.113.102;<br>


         allow 172.17.113.103;<br>


         deny all;<br>


         proxy_pass <a href="http://172.17.113.100:9000" rel="noreferrer" target="_blank">http://172.17.113.100:9000</a>;<br>


     }<br>


<br>


     location /users/auth/google_oauth2/callback {<br>


         proxy_pass <a href="http://172.17.113.100:9000" rel="noreferrer" target="_blank">http://172.17.113.100:9000</a>;<br>


     }<br>


<br>


     location /-/google_api/auth/callback {<br>


         proxy_pass <a href="http://172.17.113.100:9000" rel="noreferrer" target="_blank">http://172.17.113.100:9000</a>;<br>


     }<br>


}<br>


<br>


server {<br>


<br>


     listen 80;<br>


<br>


     server_name <a href="http://gitlab.example.com" rel="noreferrer" target="_blank">gitlab.example.com</a>;<br>


<br>


     location / {<br>


          return 301 <a href="https://gitlab.example.com" rel="noreferrer" target="_blank">https://gitlab.example.com</a>$request_uri;<br>


     }<br>


<br>


     location /.well-known/acme-challenge { default_type text/plain; <br>


root /opt/letsencrypt; }<br>


}<br>


<br>


Конфиг /etc/gitlab/gitlab.rb на сервере <a href="http://172.17.113.100" rel="noreferrer" target="_blank">172.17.113.100</a>:<br>


<br>


nginx['listen_port'] = 9000<br>


<br>


nginx['listen_https'] = false<br>


<br>


-- <br>


Best regards,<br>


  Gena<br>


_______________________________________________<br>


nginx-ru mailing list -- <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>


To unsubscribe send an email to <a href="mailto:nginx-ru-leave@nginx.org" target="_blank">nginx-ru-leave@nginx.org</a><br>


</blockquote></div></div>