From nginx-forum на forum.nginx.org Fri Jul 1 15:03:14 2016 From: nginx-forum на forum.nginx.org (sergeydeg) Date: Fri, 01 Jul 2016 11:03:14 -0400 Subject: =?UTF-8?B?cmV2ZXJzZXByb3h5INC70L7QvNCw0LXRgtGB0Y8g0LfQsNCz0L7Qu9C+0LLQvtC6?= =?UTF-8?B?INC+0YLQstC10YLQsCAgQ29udGVudC1UeXBl?= Message-ID: <42b0fe43b0c1ce68e5ff67e0fb55f31b.NginxMailingListRussian@forum.nginx.org> Настроено простейшее проксирование на внутренний сервер без кеша по SSL. server { listen 8012 ssl; server_name xxxx; access_log /var/log/nginx/log/xxxx.access.log main; location / { proxy_cache off; proxy_pass https://yyyyy:8012; proxy_set_header Host $host:$proxy_port; client_max_body_size 100M; } } При возврате Nginx часть заголовка Content-Type переносится в Connection и добавляются :: Вызов напрямую: HTTP/1.1 200 OK Date: Fri, 01 Jul 2016 13:04:23 GMT Content-Length: 3835 Content-Type: multipart/related; boundary=MIME_Boundary; start=N3f579b32.N474650ec.e.1559b920e92.N7f6e; type="application/xop+xml"; start-info="application/soap+xml" X-ORACLE-DMS-ECID: f419bdaf-28f1-4d32-bbaf-5252a586b08b-0001e31a Вызов через Nginx: HTTP/1.1 200 OK Server: nginx Date: Fri, 01 Jul 2016 13:07:46 GMT Content-Type: multipart/related; boundary=MIME_Boundary; Content-Length: 3836 Connection: keep-alive start=N3f579b32.N474650ec.14.1559bbb6140.N7f29; : type="application/xop+xml"; start-info="application/soap+xml": X-ORACLE-DMS-ECID: f419bdaf-28f1-4d32-bbaf-5252a586b08b-0001e393 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,267980,267980#msg-267980 From vbart на nginx.com Fri Jul 1 15:17:10 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 01 Jul 2016 18:17:10 +0300 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <42b0fe43b0c1ce68e5ff67e0fb55f31b.NginxMailingListRussian@forum.nginx.org> References: <42b0fe43b0c1ce68e5ff67e0fb55f31b.NginxMailingListRussian@forum.nginx.org> Message-ID: <8686109.PC0AWdNE0O@vbart-workstation> On Friday 01 July 2016 11:03:14 sergeydeg wrote: > Настроено простейшее проксирование на внутренний сервер без кеша по SSL. > server { > listen 8012 ssl; > server_name xxxx; > > access_log /var/log/nginx/log/xxxx.access.log main; > > location / { > proxy_cache off; > proxy_pass https://yyyyy:8012; > proxy_set_header Host $host:$proxy_port; > client_max_body_size 100M; > } > } > > При возврате Nginx часть заголовка Content-Type переносится в Connection и > добавляются :: [..] А что показывает nginx -V? -- Валентин Бартенев From nginx-forum на forum.nginx.org Fri Jul 1 15:23:36 2016 From: nginx-forum на forum.nginx.org (sergeydeg) Date: Fri, 01 Jul 2016 11:23:36 -0400 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <8686109.PC0AWdNE0O@vbart-workstation> References: <8686109.PC0AWdNE0O@vbart-workstation> Message-ID: <8aed9326adc19712868eb1249abd2b94.NginxMailingListRussian@forum.nginx.org> http://pastebin.com/e9PGvVsE Posted at Nginx Forum: https://forum.nginx.org/read.php?21,267980,267982#msg-267982 From nginx на mva.name Fri Jul 1 17:34:58 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Sat, 02 Jul 2016 00:34:58 +0700 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <42b0fe43b0c1ce68e5ff67e0fb55f31b.NginxMailingListRussian@forum.nginx.org> References: <42b0fe43b0c1ce68e5ff67e0fb55f31b.NginxMailingListRussian@forum.nginx.org> Message-ID: <11996334.J82ZNAcQNO@note> В письме от пятница, 1 июля 2016 г. 11:03:14 +07 пользователь sergeydeg написал: > Content-Type: multipart/related; boundary=MIME_Boundary; > start=N3f579b32.N474650ec.e.1559b920e92.N7f6e; type="application/xop+xml"; > start-info="application/soap+xml" А это так в оригинале перенос каретки отдаётся, или Ваш почтовый клиент постарался? -- wbr, mva From mdounin на mdounin.ru Fri Jul 1 17:50:07 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Fri, 1 Jul 2016 20:50:07 +0300 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <11996334.J82ZNAcQNO@note> References: <42b0fe43b0c1ce68e5ff67e0fb55f31b.NginxMailingListRussian@forum.nginx.org> <11996334.J82ZNAcQNO@note> Message-ID: <20160701175006.GI30781@mdounin.ru> Hello! On Sat, Jul 02, 2016 at 12:34:58AM +0700, Vadim A. Misbakh-Soloviov wrote: > В письме от пятница, 1 июля 2016 г. 11:03:14 +07 пользователь sergeydeg > написал: > > Content-Type: multipart/related; boundary=MIME_Boundary; > > start=N3f579b32.N474650ec.e.1559b920e92.N7f6e; type="application/xop+xml"; > > start-info="application/soap+xml" > > А это так в оригинале перенос каретки отдаётся, или Ваш почтовый клиент > постарался? Судя по результату - в оригинале line folding, с пробелом или табом в начале "продолжающих" строк. Такого nginx не поддерживает, и RFC 7230 явно запрещает так делать: Historically, HTTP header field values could be extended over multiple lines by preceding each extra line with at least one space or horizontal tab (obs-fold). This specification deprecates such line folding except within the message/http media type (Section 8.3.1). A sender MUST NOT generate a message that includes line folding (i.e., that has any field-value that contains a match to the obs-fold rule) unless the message is intended for packaging within the message/http media type. (http://tools.ietf.org/html/rfc7230#section-3.2.4) -- Maxim Dounin http://nginx.org/ From jd на jdwuzhere.ru Sat Jul 2 09:45:11 2016 From: jd на jdwuzhere.ru (Vladimir Sopot) Date: Sat, 2 Jul 2016 12:45:11 +0300 Subject: =?UTF-8?B?0KHRgtGA0LDQvdC90L7QtSDRgSBzZXRfcmVhbF9pcF9mcm9tIA==?= Message-ID: Привет! В nginx.conf есть set_real_ip_from 185.26.180.0/22; fastcgi_param REMOTE_ADDR $remote_addr; Но при этом до php-fpm доходит $_SERVER["REMOTE_ADDR”]=185.26.182.31 nginx version: nginx/1.10.1 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013 TLS SNI support enabled configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module Чего не хватает котенку? From fe на nginx.com Sat Jul 2 10:39:04 2016 From: fe на nginx.com (Fedor Dikarev) Date: Sat, 2 Jul 2016 13:39:04 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbQ==?= In-Reply-To: References: Message-ID: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> Opera использует заголовок X-Forwarded-For для передачи адреса клиента, а не X-Real-IP как nginx ожидает по-умолчанию. Добавьте: > real_ip_header X-Forwarded-For; > http://nginx.org/ru/docs/http/ngx_http_realip_module.html#real_ip_header 02.07.16 12:45, Vladimir Sopot пишет: > Привет! > > В nginx.conf есть > > set_real_ip_from 185.26.180.0/22; > fastcgi_param REMOTE_ADDR $remote_addr; > > Но при этом до php-fpm доходит > > $_SERVER["REMOTE_ADDR”]=185.26.182.31 > > nginx version: nginx/1.10.1 > built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) > built with OpenSSL 1.0.1e-fips 11 Feb 2013 > TLS SNI support enabled > configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module > > Чего не хватает котенку? > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- Fedor Dikarev From nginx-forum на forum.nginx.org Sat Jul 2 13:04:45 2016 From: nginx-forum на forum.nginx.org (sashainvalid) Date: Sat, 02 Jul 2016 09:04:45 -0400 Subject: =?UTF-8?B?0LLRi9C00LDRkdGCINC+0YjQuNCx0LrRgyDQv9GA0Lgg0YHQsdC+0YDQutC4IG5n?= =?UTF-8?B?aW54IGMgLS13aXRoLWh0dHAgcGVybCBtb2R1bGU=?= Message-ID: cc1: warnings being treated as errors src/http/modules/perl/ngx_http_perl_module.c: In function ‘ngx_http_perl_preconfiguration’: src/http/modules/perl/ngx_http_perl_module.c:847: предупреждение: unused parameter ‘cf’ src/http/modules/perl/ngx_http_perl_module.c: In function ‘ngx_http_perl_merge_loc_conf’: src/http/modules/perl/ngx_http_perl_module.c:894: предупреждение: unused parameter ‘cf’ src/http/modules/perl/ngx_http_perl_module.c: In function ‘ngx_http_perl’: src/http/modules/perl/ngx_http_perl_module.c:909: предупреждение: unused parameter ‘cmd’ src/http/modules/perl/ngx_http_perl_module.c: In function ‘ngx_http_perl_set’: src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: unused parameter ‘cmd’ src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: unused parameter ‘conf’ src/http/modules/perl/ngx_http_perl_module.c: In function ‘ngx_http_perl_exit’: src/http/modules/perl/ngx_http_perl_module.c:1053: предупреждение: unused parameter ‘cycle’ Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268001,268001#msg-268001 From nginx-forum на forum.nginx.org Sat Jul 2 13:32:23 2016 From: nginx-forum на forum.nginx.org (sashainvalid) Date: Sat, 02 Jul 2016 09:32:23 -0400 Subject: =?UTF-8?B?0L/QvtC20LXQu9Cw0L3QuNGPINC4INC/0YDQvtGB0YzQsdCwOiDQlNC+0LHQsNCy?= =?UTF-8?B?0YzRgtC1INGE0YPQvdC60YbQuNGOINCyIG1lbWNhY2hlZCBtb2R1bGUg0Lo=?= =?UTF-8?B?0LDQuiBwZXJsIHNldCDQsiBwZXJsIG1vZHVsZQ==?= Message-ID: <2751bcc577d086b4c2234c63807693f8.NginxMailingListRussian@forum.nginx.org> Добавьте функцию в memcached_module как perl_set в perl_module, её очень не хватает мне, и думаю не только мне Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268003,268003#msg-268003 From jd на jdwuzhere.ru Sat Jul 2 16:24:32 2016 From: jd на jdwuzhere.ru (Vladimir Sopot) Date: Sat, 2 Jul 2016 19:24:32 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbQ==?= In-Reply-To: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> References: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> Message-ID: <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> Да, конечно, есть и real_ip_header X-Forwarded-For; В конфиге есть ещё куча других сетей оперы и с ними, кажется, нет проблем. > On 02 Jul 2016, at 13:39, Fedor Dikarev wrote: > > Opera использует заголовок X-Forwarded-For для передачи адреса клиента, > а не X-Real-IP как nginx ожидает по-умолчанию. Добавьте: >> real_ip_header X-Forwarded-For; > >> http://nginx.org/ru/docs/http/ngx_http_realip_module.html#real_ip_header > > > 02.07.16 12:45, Vladimir Sopot пишет: >> Привет! >> >> В nginx.conf есть >> >> set_real_ip_from 185.26.180.0/22; >> fastcgi_param REMOTE_ADDR $remote_addr; >> >> Но при этом до php-fpm доходит >> >> $_SERVER["REMOTE_ADDR”]=185.26.182.31 >> >> nginx version: nginx/1.10.1 >> built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) >> built with OpenSSL 1.0.1e-fips 11 Feb 2013 >> TLS SNI support enabled >> configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module >> >> Чего не хватает котенку? >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > -- > Fedor Dikarev > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From fe на nginx.com Sat Jul 2 19:34:28 2016 From: fe на nginx.com (Fedor Dikarev) Date: Sat, 2 Jul 2016 22:34:28 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbQ==?= In-Reply-To: <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> References: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> Message-ID: А что в заголовках запроса приезжает? Вот, например, мой эксперимент: > fe на hamilton:~ % nc -kl 8888 > GET / HTTP/1.1 > Host: hamilton.example.com:8888 > ... > x-lb-local: 82.145.209.252 80 > X-Forwarded-For: 141.0.15.155 > X-Content-Opt: Turbo/4.42.224 То есть видно, что запрос пришел с прокси Оперы, но в X-Forwarded-For совсем не мой ip адрес, а адрес из сети Оперы. А если тут будет видно, что все правильно приезжает, то можно попробовать в nginx-е поднять еще один сервер, например, на том же порту 8888, проверить подставляет ли Nginx $remote_addr правильно. Если подставляет, тогда искать в конфигах где переписывается fastcgi_param или где не include-ится. А если не подставляет, то тогда уже включать debug на эти коннекты: > events { > debug_connection 185.26.180.0/22; > } > http://nginx.org/ru/docs/debugging_log.html Запускать Nginx в debug-е, и либо станет понятно что происходит, либо сюда уже постить конфиг этого 8888 сервера и debug log этих соединенй. On 02/07/16 19:24, Vladimir Sopot wrote: > Да, конечно, есть и real_ip_header X-Forwarded-For; > В конфиге есть ещё куча других сетей оперы и с ними, кажется, нет проблем. > >> On 02 Jul 2016, at 13:39, Fedor Dikarev wrote: >> >> Opera использует заголовок X-Forwarded-For для передачи адреса клиента, >> а не X-Real-IP как nginx ожидает по-умолчанию. Добавьте: >>> real_ip_header X-Forwarded-For; >> >>> http://nginx.org/ru/docs/http/ngx_http_realip_module.html#real_ip_header >> >> >> 02.07.16 12:45, Vladimir Sopot пишет: >>> Привет! >>> >>> В nginx.conf есть >>> >>> set_real_ip_from 185.26.180.0/22; >>> fastcgi_param REMOTE_ADDR $remote_addr; >>> >>> Но при этом до php-fpm доходит >>> >>> $_SERVER["REMOTE_ADDR”]=185.26.182.31 >>> >>> nginx version: nginx/1.10.1 >>> built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) >>> built with OpenSSL 1.0.1e-fips 11 Feb 2013 >>> TLS SNI support enabled >>> configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module >>> >>> Чего не хватает котенку? >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >> >> -- >> Fedor Dikarev >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- Fedor Dikarev From nginx на mva.name Sun Jul 3 09:44:19 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Sun, 03 Jul 2016 16:44:19 +0700 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbQ==?= In-Reply-To: References: <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> Message-ID: <1688016.onUk3lrAsa@note> В письме от суббота, 2 июля 2016 г. 22:34:28 +07 пользователь Fedor Dikarev написал: > совсем не мой ip адрес, а адрес из сети Оперы. Opera Turbo же, не? -- wbr, mva From basil на vpm.net.ua Sun Jul 3 14:45:21 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Sun, 3 Jul 2016 17:45:21 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbQ==?= In-Reply-To: <1688016.onUk3lrAsa@note> References: <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> <1688016.onUk3lrAsa@note> Message-ID: 3 июля 2016 г., 12:44 пользователь Vadim A. Misbakh-Soloviov написал: > В письме от суббота, 2 июля 2016 г. 22:34:28 +07 пользователь Fedor Dikarev > написал: > > совсем не мой ip адрес, а адрес из сети Оперы. > > Opera Turbo же, не? > зачем ты это сказал ?:) > > -- > wbr, > mva > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Sun Jul 3 20:57:51 2016 From: nginx-forum на forum.nginx.org (jtiq) Date: Sun, 03 Jul 2016 16:57:51 -0400 Subject: =?UTF-8?B?0L/QvtC80L7RidGMIHByb3h5IGJpbmQgdHJhbnNwYXJlbnQ=?= Message-ID: Здравствуйте, есть такой параметр proxy_bind http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind Параметр transparent (1.11.0) позволяет задать нелокальный IP-aдрес, который будет использоваться в исходящих соединениях с проксируемым сервером, например, реальный IP-адрес клиента: proxy_bind $remote_addr transparent; Для работы параметра необходимо запустить рабочие процессы nginx с привилегиями суперпользователя, а также настроить таблицу маршрутизации ядра для перехвата сетевого трафика с проксируемого сервера. Помогите настроить таблицу маршрутизации ядра для перехвата сетевого трафика... ОС Ubuntu 14.04 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268017,268017#msg-268017 From arut на nginx.com Mon Jul 4 04:03:09 2016 From: arut на nginx.com (Roman Arutyunyan) Date: Mon, 4 Jul 2016 07:03:09 +0300 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: References: Message-ID: <20160704040309.GN71640@Romans-MacBook-Air.local> Добрый день, On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: > Здравствуйте, есть такой параметр proxy_bind > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind > > Параметр transparent (1.11.0) позволяет задать нелокальный IP-aдрес, который > будет использоваться в исходящих соединениях с проксируемым сервером, > например, реальный IP-адрес клиента: > > proxy_bind $remote_addr transparent; > > Для работы параметра необходимо запустить рабочие процессы nginx с > привилегиями суперпользователя, а также настроить таблицу маршрутизации ядра > для перехвата сетевого трафика с проксируемого сервера. > > Помогите настроить таблицу маршрутизации ядра для перехвата сетевого > трафика... > > ОС Ubuntu 14.04 https://www.kernel.org/doc/Documentation/networking/tproxy.txt -- Roman Arutyunyan From nginx-forum на forum.nginx.org Mon Jul 4 08:45:07 2016 From: nginx-forum на forum.nginx.org (sergeydeg) Date: Mon, 04 Jul 2016 04:45:07 -0400 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <20160701175006.GI30781@mdounin.ru> References: <20160701175006.GI30781@mdounin.ru> Message-ID: <6f0f981910855b67edd9eba1f328d457.NginxMailingListRussian@forum.nginx.org> Увы, лайнфида там нет, только два пробельных символа. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,267980,268023#msg-268023 From mdounin на mdounin.ru Mon Jul 4 11:24:04 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Mon, 4 Jul 2016 14:24:04 +0300 Subject: =?UTF-8?B?UmU6INCy0YvQtNCw0ZHRgiDQvtGI0LjQsdC60YMg0L/RgNC4INGB0LHQvtGA0Lo=?= =?UTF-8?B?0LggbmdpbnggYyAtLXdpdGgtaHR0cCBwZXJsIG1vZHVsZQ==?= In-Reply-To: References: Message-ID: <20160704112404.GQ30781@mdounin.ru> Hello! On Sat, Jul 02, 2016 at 09:04:45AM -0400, sashainvalid wrote: > cc1: warnings being treated as errors > src/http/modules/perl/ngx_http_perl_module.c: In function > ‘ngx_http_perl_preconfiguration’: > src/http/modules/perl/ngx_http_perl_module.c:847: предупреждение: unused > parameter ‘cf’ > src/http/modules/perl/ngx_http_perl_module.c: In function > ‘ngx_http_perl_merge_loc_conf’: > src/http/modules/perl/ngx_http_perl_module.c:894: предупреждение: unused > parameter ‘cf’ > src/http/modules/perl/ngx_http_perl_module.c: In function ‘ngx_http_perl’: > src/http/modules/perl/ngx_http_perl_module.c:909: предупреждение: unused > parameter ‘cmd’ > src/http/modules/perl/ngx_http_perl_module.c: In function > ‘ngx_http_perl_set’: > src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: unused > parameter ‘cmd’ > src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: unused > parameter ‘conf’ > src/http/modules/perl/ngx_http_perl_module.c: In function > ‘ngx_http_perl_exit’: > src/http/modules/perl/ngx_http_perl_module.c:1053: предупреждение: unused > parameter ‘cycle’ Проверьте параметры ./configure и CFLAGS, у вас мусор в опциях сборки. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Mon Jul 4 12:17:34 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Mon, 4 Jul 2016 15:17:34 +0300 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <6f0f981910855b67edd9eba1f328d457.NginxMailingListRussian@forum.nginx.org> References: <20160701175006.GI30781@mdounin.ru> <6f0f981910855b67edd9eba1f328d457.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160704121734.GR30781@mdounin.ru> Hello! On Mon, Jul 04, 2016 at 04:45:07AM -0400, sergeydeg wrote: > Увы, лайнфида там нет, только два пробельных символа. Убедитесь, что наличие/отсутствие вы проверяли telnet'ом или, на худой концец, curl'ом, а не встроенными средствами браузера. Последние - обычно таких "мелочей" не показывают, ибо работают с высокоуровневым представлением ответа, где зачастую даже потеряна информация о том, был он получен от сервера или взят из кеша. Как вариант - посмотреть в debug log nginx'а, подробности тут: http://nginx.org/ru/docs/debugging_log.html У меня, впрочем, сомнений в причинах появления приведённого вами результата нет никаких. Это выглядит как line folding, пахнет как line folding, и я буду очень удивлён, если это окажется чем-то, отличным от line folding. -- Maxim Dounin http://nginx.org/ From jd на jdwuzhere.ru Mon Jul 4 12:28:08 2016 From: jd на jdwuzhere.ru (Vladimir Sopot) Date: Mon, 4 Jul 2016 15:28:08 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbSA=?= In-Reply-To: <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> References: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> Message-ID: <7D13FA38-7874-4CF4-9E2C-F09A6E645D92@jdwuzhere.ru> Внезапно, подозреваю отсутствие в конфиге real_ip_recursive on; Сегодня буду тестировать. > On 02 Jul 2016, at 19:24, Vladimir Sopot wrote: > > Да, конечно, есть и real_ip_header X-Forwarded-For; > В конфиге есть ещё куча других сетей оперы и с ними, кажется, нет проблем. > >> On 02 Jul 2016, at 13:39, Fedor Dikarev wrote: >> >> Opera использует заголовок X-Forwarded-For для передачи адреса клиента, >> а не X-Real-IP как nginx ожидает по-умолчанию. Добавьте: >>> real_ip_header X-Forwarded-For; >> >>> http://nginx.org/ru/docs/http/ngx_http_realip_module.html#real_ip_header >> >> >> 02.07.16 12:45, Vladimir Sopot пишет: >>> Привет! >>> >>> В nginx.conf есть >>> >>> set_real_ip_from 185.26.180.0/22; >>> fastcgi_param REMOTE_ADDR $remote_addr; >>> >>> Но при этом до php-fpm доходит >>> >>> $_SERVER["REMOTE_ADDR”]=185.26.182.31 >>> >>> nginx version: nginx/1.10.1 >>> built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) >>> built with OpenSSL 1.0.1e-fips 11 Feb 2013 >>> TLS SNI support enabled >>> configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module >>> >>> Чего не хватает котенку? >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >> >> -- >> Fedor Dikarev >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > From nginx-forum на forum.nginx.org Mon Jul 4 12:50:23 2016 From: nginx-forum на forum.nginx.org (sashainvalid) Date: Mon, 04 Jul 2016 08:50:23 -0400 Subject: =?UTF-8?B?UmU6INCy0YvQtNCw0ZHRgiDQvtGI0LjQsdC60YMg0L/RgNC4INGB0LHQvtGA0Lo=?= =?UTF-8?B?0LggbmdpbnggYyAtLXdpdGgtaHR0cCBwZXJsIG1vZHVsZQ==?= In-Reply-To: <20160704112404.GQ30781@mdounin.ru> References: <20160704112404.GQ30781@mdounin.ru> Message-ID: <82bb666b849c324b6aa2874918bedda2.NginxMailingListRussian@forum.nginx.org> Maxim Dounin Wrote: ------------------------------------------------------- > Hello! > > On Sat, Jul 02, 2016 at 09:04:45AM -0400, sashainvalid wrote: > > > cc1: warnings being treated as errors > > src/http/modules/perl/ngx_http_perl_module.c: In function > > ‘ngx_http_perl_preconfiguration’: > > src/http/modules/perl/ngx_http_perl_module.c:847: предупреждение: > unused > > parameter ‘cf’ > > src/http/modules/perl/ngx_http_perl_module.c: In function > > ‘ngx_http_perl_merge_loc_conf’: > > src/http/modules/perl/ngx_http_perl_module.c:894: предупреждение: > unused > > parameter ‘cf’ > > src/http/modules/perl/ngx_http_perl_module.c: In function > ‘ngx_http_perl’: > > src/http/modules/perl/ngx_http_perl_module.c:909: предупреждение: > unused > > parameter ‘cmd’ > > src/http/modules/perl/ngx_http_perl_module.c: In function > > ‘ngx_http_perl_set’: > > src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: > unused > > parameter ‘cmd’ > > src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: > unused > > parameter ‘conf’ > > src/http/modules/perl/ngx_http_perl_module.c: In function > > ‘ngx_http_perl_exit’: > > src/http/modules/perl/ngx_http_perl_module.c:1053: предупреждение: > unused > > parameter ‘cycle’ > > Проверьте параметры ./configure и CFLAGS, у вас мусор в опциях > сборки. > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru параметры при сборке ./configure ./configure --with-http_perl_module --without-http_memcached_module --without-http_fastcgi_module --without-http_geo_module --without-http_map_module --without-http_scgi_module --without-http_split_clients_module --without-http_ssi_module --without-http_userid_module --without-http_uwsgi_module --user=nginx --group=nginx --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/lib/nginx/tmp/client_body --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --pid-path=/var/run/nginx.pid --lock-path=/var/lock/subsys/nginx --with-http_realip_module --with-http_addition_module --with-http_gzip_static_module --with-http_degradation_module --with-http_stub_status_module --without-http_autoindex_module --with-http_gunzip_module --with-file-aio --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic' --with-ld-opt=-Wl,-E make CFLAGS="$CFLAGS -g" Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268027,268031#msg-268031 From mdounin на mdounin.ru Mon Jul 4 14:13:27 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Mon, 4 Jul 2016 17:13:27 +0300 Subject: =?UTF-8?B?UmU6INCy0YvQtNCw0ZHRgiDQvtGI0LjQsdC60YMg0L/RgNC4INGB0LHQvtGA0Lo=?= =?UTF-8?B?0LggbmdpbnggYyAtLXdpdGgtaHR0cCBwZXJsIG1vZHVsZQ==?= In-Reply-To: <82bb666b849c324b6aa2874918bedda2.NginxMailingListRussian@forum.nginx.org> References: <20160704112404.GQ30781@mdounin.ru> <82bb666b849c324b6aa2874918bedda2.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160704141327.GY30781@mdounin.ru> Hello! On Mon, Jul 04, 2016 at 08:50:23AM -0400, sashainvalid wrote: > Maxim Dounin Wrote: > ------------------------------------------------------- > > Hello! > > > > On Sat, Jul 02, 2016 at 09:04:45AM -0400, sashainvalid wrote: > > > > > cc1: warnings being treated as errors > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > ‘ngx_http_perl_preconfiguration’: > > > src/http/modules/perl/ngx_http_perl_module.c:847: предупреждение: > > unused > > > parameter ‘cf’ > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > ‘ngx_http_perl_merge_loc_conf’: > > > src/http/modules/perl/ngx_http_perl_module.c:894: предупреждение: > > unused > > > parameter ‘cf’ > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > ‘ngx_http_perl’: > > > src/http/modules/perl/ngx_http_perl_module.c:909: предупреждение: > > unused > > > parameter ‘cmd’ > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > ‘ngx_http_perl_set’: > > > src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: > > unused > > > parameter ‘cmd’ > > > src/http/modules/perl/ngx_http_perl_module.c:962: предупреждение: > > unused > > > parameter ‘conf’ > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > ‘ngx_http_perl_exit’: > > > src/http/modules/perl/ngx_http_perl_module.c:1053: предупреждение: > > unused > > > parameter ‘cycle’ > > > > Проверьте параметры ./configure и CFLAGS, у вас мусор в опциях > > сборки. > > параметры при сборке ./configure > > ./configure --with-http_perl_module --without-http_memcached_module > --without-http_fastcgi_module --without-http_geo_module > --without-http_map_module --without-http_scgi_module > --without-http_split_clients_module --without-http_ssi_module > --without-http_userid_module --without-http_uwsgi_module --user=nginx > --group=nginx --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx > --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log > --http-log-path=/var/log/nginx/access.log > --http-client-body-temp-path=/var/lib/nginx/tmp/client_body > --http-proxy-temp-path=/var/lib/nginx/tmp/proxy > --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi > --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi > --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --pid-path=/var/run/nginx.pid > --lock-path=/var/lock/subsys/nginx --with-http_realip_module > --with-http_addition_module --with-http_gzip_static_module > --with-http_degradation_module --with-http_stub_status_module > --without-http_autoindex_module --with-http_gunzip_module --with-file-aio > --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions > -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic' > --with-ld-opt=-Wl,-E > > make CFLAGS="$CFLAGS -g" Из --with-cc-opt нужно как минимум убрать -Wall. Т.к. nginx включает все warning'и кроме отдельных маловажных сам, и при этом ещё и добавляет -Werror - он него сплошные неприятности. Пытаться переопределить CFLAGS при запуске make - не нужно. Если вдруг переменная CFLAGS установлена в переменных окружения - её следует очистить до запуска configure (но судя по всему - она не установлена). Отмечу также, что --with-ld-opt=-Wl,-E можно совсем убрать, в nginx 1.9.11+ он точно не нужен. -- Maxim Dounin http://nginx.org/ From ads на unix4all.com Mon Jul 4 15:14:00 2016 From: ads на unix4all.com (=?UTF-8?B?0JTQvNC40YLRgNC40Lkg0JDQvdGB0LjQvNC+0LI=?=) Date: Mon, 4 Jul 2016 18:14:00 +0300 Subject: =?UTF-8?B?TkdJTlgg0L3QtdC60L7RgtC+0YDQvtC1INCy0YDQtdC80Y8g0L3QtSDQv9GA0Lg=?= =?UTF-8?B?0L3QuNC80LDQtdGCINC30LDQv9GA0L7RgdGLINC/0L7RgdC70LUg0LLRi9C/?= =?UTF-8?B?0L7Qu9C90LXQvdC40Y8gcmVsb2Fk?= Message-ID: Задавал вопрос тут , но опишу суть проблемы и симптомы: Во время релоада конфига nginx (4 ядра, 4Gb, выступает в роли reverse proxy) временно перестает отвечать на запросы, включая и те, что приходят на localhost (zabbix рапортует о недоступности). RPS при этом находится на уровне 1600-1800, netstat ничего, на мой взгляд, необычного, не показывает. dmesg и error.log о проблемах не сообщают. $ netstat -tpn |awk '/:80/||/:443/{print $6}' |sort |uniq -c 3 CLOSE_WAIT 13 CLOSING 17568 ESTABLISHED 292 FIN_WAIT1 962 FIN_WAIT2 171 LAST_ACK 309 SYN_RECV 54314 TIME_WAIT $ netstat -tpn |awk '/nginx/{print $6,$7}' |sort |uniq -c 3124 ESTABLISHED 10005/nginx 3073 ESTABLISHED 10006/nginx 2965 ESTABLISHED 10007/nginx 2980 ESTABLISHED 10008/nginx *немного nginx.conf:* worker_processes 4; timer_resolution 100ms; worker_priority -15; worker_rlimit_nofile 200000; events { worker_connections 65536; multi_accept on; use epoll; } http { sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_requests 100; keepalive_timeout 65; server { listen 80 default_server backlog=1000; listen 443 ssl backlog=1000; .... } } *custom sysctl.conf* net.ipv4.ip_local_port_range=1024 65535net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.all.send_redirects=0net.core.netdev_max_backlog=10000net.ipv4.tcp_syncookies=0net.ipv4.tcp_max_syn_backlog=20480net.ipv4.tcp_synack_retries=2net.ipv4.tcp_syn_retries=2net.ipv4.tcp_rmem=4096 87380 16777216net.ipv4.tcp_wmem=4096 65536 16777216net.core.rmem_max=16777216net.core.wmem_max=16777216net.netfilter.nf_conntrack_max=1048576net.ipv4.tcp_congestion_control=htcpnet.ipv4.tcp_timestamps=1net.ipv4.tcp_no_metrics_save=1net.ipv4.tcp_tw_reuse=1net.ipv4.tcp_tw_recycle=0net.ipv4.tcp_max_tw_buckets=1400000net.core.somaxconn=250000net.ipv4.tcp_keepalive_time=900net.ipv4.tcp_keepalive_intvl=15net.ipv4.tcp_keepalive_probes=5net.ipv4.tcp_fin_timeout=10 Графики некоторых статистик *netstat -s* здесь Так же смотрел параллельно *strace -f -p master_pid* и *strace -p worker1_pid -p workerN_pid *при выполнении *service nginx reload* В логах strace наблюдается следующее: getsockopt(556, SOL_SOCKET, SO_ERROR, [0], [4]) = 0 accept4(10, 0x7ffd02e26b90, [110], SOCK_NONBLOCK) = -1 EAGAIN (Resource temporarily unavailable) и [pid 27364] getsockopt(556, SOL_SOCKET, SO_ERROR, [0], [4]) = 0 [pid 27364] writev(556, [{"POST /test?arg=value HTT"..., 493}, { "v=1&_v=j44&a=124365396&t=554343"..., 573}, {"D0%BE%D0%B9%2C%20%D0%BB%D1%83 %D1"..., 3238}], 3) = 4304 [pid 27364] recvfrom(45, 0x7ffd02e26bff, 1, 2, 0, 0) = -1 EAGAIN (Resource temporarily unavailable) [pid 27364] recvfrom(151, "\26", 1, MSG_PEEK, NULL, NULL) = 1 Это похоже на то, что могло бы стать причиной моей проблемы? (заранее оговорю - до этого strace'ом пользовался сильно вскользь) Заранее спасибо за любую помощь. -- Sincerely, Dmitry Ansimov freelance system administrator skype: cardinal-gray ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Mon Jul 4 15:47:21 2016 From: nginx-forum на forum.nginx.org (sashainvalid) Date: Mon, 04 Jul 2016 11:47:21 -0400 Subject: =?UTF-8?B?UmU6INCy0YvQtNCw0ZHRgiDQvtGI0LjQsdC60YMg0L/RgNC4INGB0LHQvtGA0Lo=?= =?UTF-8?B?0LggbmdpbnggYyAtLXdpdGgtaHR0cCBwZXJsIG1vZHVsZQ==?= In-Reply-To: <20160704141327.GY30781@mdounin.ru> References: <20160704141327.GY30781@mdounin.ru> Message-ID: <63b7258d26d05db7e6f70f51b9a7d08a.NginxMailingListRussian@forum.nginx.org> Maxim Dounin Wrote: ------------------------------------------------------- > Hello! > > On Mon, Jul 04, 2016 at 08:50:23AM -0400, sashainvalid wrote: > > > Maxim Dounin Wrote: > > ------------------------------------------------------- > > > Hello! > > > > > > On Sat, Jul 02, 2016 at 09:04:45AM -0400, sashainvalid wrote: > > > > > > > cc1: warnings being treated as errors > > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > > ‘ngx_http_perl_preconfiguration’: > > > > src/http/modules/perl/ngx_http_perl_module.c:847: > предупреждение: > > > unused > > > > parameter ‘cf’ > > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > > ‘ngx_http_perl_merge_loc_conf’: > > > > src/http/modules/perl/ngx_http_perl_module.c:894: > предупреждение: > > > unused > > > > parameter ‘cf’ > > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > ‘ngx_http_perl’: > > > > src/http/modules/perl/ngx_http_perl_module.c:909: > предупреждение: > > > unused > > > > parameter ‘cmd’ > > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > > ‘ngx_http_perl_set’: > > > > src/http/modules/perl/ngx_http_perl_module.c:962: > предупреждение: > > > unused > > > > parameter ‘cmd’ > > > > src/http/modules/perl/ngx_http_perl_module.c:962: > предупреждение: > > > unused > > > > parameter ‘conf’ > > > > src/http/modules/perl/ngx_http_perl_module.c: In function > > > > ‘ngx_http_perl_exit’: > > > > src/http/modules/perl/ngx_http_perl_module.c:1053: > предупреждение: > > > unused > > > > parameter ‘cycle’ > > > > > > Проверьте параметры ./configure и CFLAGS, у вас мусор в опциях > > > сборки. > > > > параметры при сборке ./configure > > > > ./configure --with-http_perl_module --without-http_memcached_module > > --without-http_fastcgi_module --without-http_geo_module > > --without-http_map_module --without-http_scgi_module > > --without-http_split_clients_module --without-http_ssi_module > > --without-http_userid_module --without-http_uwsgi_module > --user=nginx > > --group=nginx --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx > > --conf-path=/etc/nginx/nginx.conf > --error-log-path=/var/log/nginx/error.log > > --http-log-path=/var/log/nginx/access.log > > --http-client-body-temp-path=/var/lib/nginx/tmp/client_body > > --http-proxy-temp-path=/var/lib/nginx/tmp/proxy > > --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi > > --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi > > --http-scgi-temp-path=/var/lib/nginx/tmp/scgi > --pid-path=/var/run/nginx.pid > > --lock-path=/var/lock/subsys/nginx --with-http_realip_module > > --with-http_addition_module --with-http_gzip_static_module > > --with-http_degradation_module --with-http_stub_status_module > > --without-http_autoindex_module --with-http_gunzip_module > --with-file-aio > > --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 > -fexceptions > > -fstack-protector --param=ssp-buffer-size=4 -m64 -mtune=generic' > > --with-ld-opt=-Wl,-E > > > > make CFLAGS="$CFLAGS -g" > > Из --with-cc-opt нужно как минимум убрать -Wall. Т.к. nginx > включает все warning'и кроме отдельных маловажных сам, и при этом > ещё и добавляет -Werror - он него сплошные неприятности. > > Пытаться переопределить CFLAGS при запуске make - не нужно. Если > вдруг переменная CFLAGS установлена в переменных окружения - её > следует очистить до запуска configure (но судя по всему - она не > установлена). > > Отмечу также, что --with-ld-opt=-Wl,-E можно совсем убрать, в > nginx 1.9.11+ он точно не нужен. > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru Спасибо вам большое за помощь, параметры для with-cc-opt были взяты из rpm пакета Кто-то знает, проблемы не решены с perl в сборке 4:5.8.8-43.el5_11 для centos ? Цитата о проблемах с perl: “ Для того чтобы во время переконфигурации Perl перекомпилировал изменённые модули, его нужно собрать с параметрами -Dusemultiplicity=yes или -Dusethreads=yes. Кроме того, чтобы во время работы Perl терял меньше памяти, его нужно собрать с параметром -Dusemymalloc=no. Узнать значения этих параметров у уже собранного Perl можно так (в примере приведены желаемые значения параметров): $ perl -V:usemultiplicity -V:usemymalloc usemultiplicity='define'; usemymalloc='n'; Необходимо учитывать, что после пересборки Perl с новыми параметрами -Dusemultiplicity=yes или -Dusethreads=yes придётся также пересобрать и все бинарные модули Perl, так как они просто перестанут работать с новым Perl. “ Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268027,268044#msg-268044 From mdounin на mdounin.ru Mon Jul 4 15:50:28 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Mon, 4 Jul 2016 18:50:28 +0300 Subject: =?UTF-8?B?UmU6IE5HSU5YINC90LXQutC+0YLQvtGA0L7QtSDQstGA0LXQvNGPINC90LUg0L8=?= =?UTF-8?B?0YDQuNC90LjQvNCw0LXRgiDQt9Cw0L/RgNC+0YHRiyDQv9C+0YHQu9C1INCy?= =?UTF-8?B?0YvQv9C+0LvQvdC10L3QuNGPIHJlbG9hZA==?= In-Reply-To: References: Message-ID: <20160704155028.GB30781@mdounin.ru> Hello! On Mon, Jul 04, 2016 at 06:14:00PM +0300, Дмитрий Ансимов wrote: > Задавал вопрос тут , но опишу суть проблемы и > симптомы: > > Во время релоада конфига nginx (4 ядра, 4Gb, выступает в роли reverse > proxy) временно перестает отвечать на запросы, включая и те, что приходят > на localhost (zabbix рапортует о недоступности). RPS при этом находится на > уровне 1600-1800, netstat ничего, на мой взгляд, необычного, не показывает. > dmesg и error.log о проблемах не сообщают. При обновлении конфигурации запускаются новые рабочии процессы, в то время как старые - могут ещё долго оставаться в памяти, потребляя ресурсы (пока все ранее стартовавшие запросы не будут завершены). Типичная ошибка - сконфигурировать сервер так, чтобы при нормальной работе вся память оказывалась распределена между процессами, в том числе - отдана nginx'у под буфера и прочие нужды. В результате при обновлении конфигурации потребление памяти nginx'ом возрастает практически в два раза, и в отсутствии свободной памяти система уходит в swap, что для нагруженного сервера фактически равносильно временной остановке. Убедиться, это ли происходит у вас, или надо искать что-то менее очевидно, проще всего с помощью запущенного top'а. Во время обновления будет хорошо видно, кончается ли память. -- Maxim Dounin http://nginx.org/ From ads на unix4all.com Mon Jul 4 15:53:45 2016 From: ads на unix4all.com (=?UTF-8?B?0JTQvNC40YLRgNC40Lkg0JDQvdGB0LjQvNC+0LI=?=) Date: Mon, 4 Jul 2016 18:53:45 +0300 Subject: =?UTF-8?B?UmU6IE5HSU5YINC90LXQutC+0YLQvtGA0L7QtSDQstGA0LXQvNGPINC90LUg0L8=?= =?UTF-8?B?0YDQuNC90LjQvNCw0LXRgiDQt9Cw0L/RgNC+0YHRiyDQv9C+0YHQu9C1INCy?= =?UTF-8?B?0YvQv9C+0LvQvdC10L3QuNGPIHJlbG9hZA==?= In-Reply-To: <20160704155028.GB30781@mdounin.ru> References: <20160704155028.GB30781@mdounin.ru> Message-ID: Нет, память не кончается, свопа же на инстансе просто нет. 4 июля 2016 г., 18:50 пользователь Maxim Dounin написал: > Hello! > > On Mon, Jul 04, 2016 at 06:14:00PM +0300, Дмитрий Ансимов wrote: > > > Задавал вопрос тут , но опишу суть проблемы > и > > симптомы: > > > > Во время релоада конфига nginx (4 ядра, 4Gb, выступает в роли reverse > > proxy) временно перестает отвечать на запросы, включая и те, что приходят > > на localhost (zabbix рапортует о недоступности). RPS при этом находится > на > > уровне 1600-1800, netstat ничего, на мой взгляд, необычного, не > показывает. > > dmesg и error.log о проблемах не сообщают. > > При обновлении конфигурации запускаются новые рабочии процессы, > в то время как старые - могут ещё долго оставаться в памяти, > потребляя ресурсы (пока все ранее стартовавшие запросы не будут > завершены). > > Типичная ошибка - сконфигурировать сервер так, чтобы при > нормальной работе вся память оказывалась распределена между > процессами, в том числе - отдана nginx'у под буфера и прочие > нужды. В результате при обновлении конфигурации потребление > памяти nginx'ом возрастает практически в два раза, и в отсутствии > свободной памяти система уходит в swap, что для нагруженного > сервера фактически равносильно временной остановке. > > Убедиться, это ли происходит у вас, или надо искать что-то менее > очевидно, проще всего с помощью запущенного top'а. Во время > обновления будет хорошо видно, кончается ли память. > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sincerely, Dmitry Ansimov freelance system administrator skype: cardinal-gray ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From maxim на nginx.com Mon Jul 4 16:20:15 2016 From: maxim на nginx.com (Maxim Konovalov) Date: Mon, 4 Jul 2016 19:20:15 +0300 Subject: =?UTF-8?B?UmU6IE5HSU5YINC90LXQutC+0YLQvtGA0L7QtSDQstGA0LXQvNGPINC90LUg0L8=?= =?UTF-8?B?0YDQuNC90LjQvNCw0LXRgiDQt9Cw0L/RgNC+0YHRiyDQv9C+0YHQu9C1INCy?= =?UTF-8?B?0YvQv9C+0LvQvdC10L3QuNGPIHJlbG9hZA==?= In-Reply-To: References: <20160704155028.GB30781@mdounin.ru> Message-ID: <4db93913-21a6-cde2-2ff5-a3983b2c37a3@nginx.com> On 7/4/16 6:53 PM, Дмитрий Ансимов wrote: > Нет, память не кончается, свопа же на инстансе просто нет. > cpu точно хватает? %idle какой в процессе reload? -- Maxim Konovalov From vbart на nginx.com Mon Jul 4 16:25:04 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Mon, 04 Jul 2016 19:25:04 +0300 Subject: =?UTF-8?B?UmU6IE5HSU5YINC90LXQutC+0YLQvtGA0L7QtSDQstGA0LXQvNGPINC90LUg0L8=?= =?UTF-8?B?0YDQuNC90LjQvNCw0LXRgiDQt9Cw0L/RgNC+0YHRiyDQv9C+0YHQu9C1INCy?= =?UTF-8?B?0YvQv9C+0LvQvdC10L3QuNGPIHJlbG9hZA==?= In-Reply-To: References: Message-ID: <5945246.i8ilzJKp76@vbart-workstation> On Monday 04 July 2016 18:14:00 Дмитрий Ансимов wrote: > Задавал вопрос тут , но опишу суть проблемы и > симптомы: > > Во время релоада конфига nginx (4 ядра, 4Gb, выступает в роли reverse > proxy) временно перестает отвечать на запросы, включая и те, что приходят > на localhost (zabbix рапортует о недоступности). RPS при этом находится на > уровне 1600-1800, netstat ничего, на мой взгляд, необычного, не показывает. > dmesg и error.log о проблемах не сообщают. > [..] А что показывает nginx -V? -- Валентин Бартенев From bogdar на gmail.com Mon Jul 4 16:49:52 2016 From: bogdar на gmail.com (Bogdan) Date: Mon, 4 Jul 2016 19:49:52 +0300 Subject: =?UTF-8?B?0KHQvNC10L3QsCBGYXN0Q0dJIHJlcXVlc3RfdXJpINC/0YDQuCDQvtCx0YDQsNCx?= =?UTF-8?B?0L7RgtC60LUgZXJyb3JfcGFnZQ==?= Message-ID: Добрый день! Возникла необходимость обрабатывать страницы с ошибками на том же бэкенде, что и сам сайт, пытаюсь модифицировать существующий конфиг таким образом: server { listen 0.0.0.0:80; server_name .somesite.com; root /home/somesite/public_html/www; error_page 500 /500; error_page 502 /502; error_page 504 /504; fastcgi_intercept_errors on; location ~* \.(eot|woff|ttf|svg)$ { root /home/somesite/public_html/www; } location / { rewrite (.*) /index.php last; } location = /index.php { fastcgi_pass somesite-site; include fastcgi_params; } access_log /var/log/nginx/somesite-site.access.log benchmark_upstream; error_log /var/log/nginx/somesite-site.error.log; } в fastcgi_params fastcgi_param REQUEST_URI $request_uri; В результате в бэкенд попадает request_uri оригинального запроса, а не /500 Есть ли настройка отвечающая за такое поведении? Хотелось бы не плодить лишних локейшенов, если возможно. *Nginx 1.10.1* Спасибо! -- WBR, Bogdan B. Rudas ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Tue Jul 5 07:36:34 2016 From: nginx-forum на forum.nginx.org (sergeydeg) Date: Tue, 05 Jul 2016 03:36:34 -0400 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <20160704121734.GR30781@mdounin.ru> References: <20160704121734.GR30781@mdounin.ru> Message-ID: Да, Вы правы. Дабаг показал, что там всё-таки LineFolding. Я изначально смотрел через Fiddler, а он как раз интерпретирует ответ по RFC7230. A user agent that receives an obs-fold in a response message that is not within a message/http container MUST replace each received obs-fold with one or more SP octets prior to interpreting the field value. А вот NGINX как раз немного косячит IMHO. A proxy or gateway that receives an obs-fold in a response message that is not within a message/http container MUST either discard the message and replace it with a 502 (Bad Gateway) response, preferably with a representation explaining that unacceptable line folding was received, or replace each received obs-fold with one or more SP octets prior to interpreting the field value or forwarding the message downstream. То есть он по идее должен либо вернуть 502 ошибку, либо преобразовать перевод каретки в пробел и отдать клиенту. Но он засовывает значения после LineFold в заголовок Connection: WBR, Сергей. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,267980,268056#msg-268056 From mdounin на mdounin.ru Tue Jul 5 10:33:27 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 5 Jul 2016 13:33:27 +0300 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: References: <20160704121734.GR30781@mdounin.ru> Message-ID: <20160705103327.GE30781@mdounin.ru> Hello! On Tue, Jul 05, 2016 at 03:36:34AM -0400, sergeydeg wrote: > Да, Вы правы. Дабаг показал, что там всё-таки LineFolding. > Я изначально смотрел через Fiddler, а он как раз интерпретирует ответ по > RFC7230. > > A user agent that receives an obs-fold in a response message that is > not within a message/http container MUST replace each received > obs-fold with one or more SP octets prior to interpreting the field > value. > > А вот NGINX как раз немного косячит IMHO. > A proxy or gateway that receives an obs-fold in a response message > that is not within a message/http container MUST either discard the > message and replace it with a 502 (Bad Gateway) response, preferably > with a representation explaining that unacceptable line folding was > received, or replace each received obs-fold with one or more SP > octets prior to interpreting the field value or forwarding the > message downstream. > > То есть он по идее должен либо вернуть 502 ошибку, либо преобразовать > перевод каретки в пробел и отдать клиенту. Но он засовывает значения после > LineFold в заголовок Connection: Как я уже говорил ранее, nginx не умеет обрабатывать line folding, совсем. Он просто рассматривает это как заголовки, начинающиеся с пробела, и отдаёт клиенту в [почти] том виде, в каком получил от бекенда. Последующее "склеивание" с другим заголовком - лишь следствие того, что заголовок специальный, и из-за этого порядок заголовков в ответе поменялся, и уже ваш клиент, поддерживающий line folding, засунул дополнительные строки в тот заголовок, который оказался перед ними. Допрограммировать в этом месте 502 с ошибкой в логах - возможно, имеет смысл. -- Maxim Dounin http://nginx.org/ From v.tolstov на selfip.ru Tue Jul 5 11:06:04 2016 From: v.tolstov на selfip.ru (Vasiliy Tolstov) Date: Tue, 5 Jul 2016 14:06:04 +0300 Subject: =?UTF-8?B?0L7RgtC00LDRgtGMIDQ0NCDQutC+0LQg0LLQvtC30LLRgNCw0YLQsCDQtNC70Y8g?= =?UTF-8?B?0LLRgdC10YUg0L3QtdGD0LrQsNC30LDQvdC90YvRhSDQuNC80LXQvSDRgdC1?= =?UTF-8?B?0YDQstC10YDQvtCyINC00LvRjyDQstGB0LXRhSDQsNC50L/QuCDQsNC00YA=?= =?UTF-8?B?0LXRgdC+0LIg0YHQtdGA0LLQtdGA0LA=?= Message-ID: Добрый день. Есть сервер, на котором есть много айпи адресов (скажем 200). Хочется для всех неописанных имен серверов для всех этих 200 адресов прописать в одном месте return 444. На текущий момент (nginx/1.9.14) нужно указывать дефолт сервер для каждой пары ip:port. Есть ли вариант указать для всех айпи адресов для порта 80 и 443 ? Спасибо. -- Vasiliy Tolstov, e-mail: v.tolstov на yoctocloud.net From ano на bestmx.net Tue Jul 5 11:40:11 2016 From: ano на bestmx.net (Andrey Oktyabrskiy) Date: Tue, 05 Jul 2016 14:40:11 +0300 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <20160705103327.GE30781@mdounin.ru> References: <20160704121734.GR30781@mdounin.ru> <20160705103327.GE30781@mdounin.ru> Message-ID: <36b2307d07074362169e61ca6bfcc9e1@bestmx.net> On 2016-07-05 13:33, Maxim Dounin wrote: >> A proxy or gateway that receives an obs-fold in a response message >> that is not within a message/http container MUST either discard the >> message and replace it with a 502 (Bad Gateway) response, >> preferably >> with a representation explaining that unacceptable line folding was >> received, or replace each received obs-fold with one or more SP >> octets prior to interpreting the field value or forwarding the >> message downstream. >> >> То есть он по идее должен либо вернуть 502 ошибку, либо преобразовать >> перевод каретки в пробел и отдать клиенту. Но он засовывает значения >> после >> LineFold в заголовок Connection: > > Как я уже говорил ранее, nginx не умеет обрабатывать line folding, > совсем. Он просто рассматривает это как заголовки, начинающиеся с > пробела, и отдаёт клиенту в [почти] том виде, в каком получил от > бекенда. Последующее "склеивание" с другим заголовком - лишь > следствие того, что заголовок специальный, и из-за этого порядок > заголовков в ответе поменялся, и уже ваш клиент, поддерживающий > line folding, засунул дополнительные строки в тот заголовок, > который оказался перед ними. > > Допрограммировать в этом месте 502 с ошибкой в логах - возможно, > имеет смысл. Тогда уж лучше сделать настраиваемым: 502 или склеивать. Не всегда есть возможность контролировать поведение бакенда. From fe на nginx.com Tue Jul 5 11:54:50 2016 From: fe на nginx.com (Fedor Dikarev) Date: Tue, 5 Jul 2016 14:54:50 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbQ==?= In-Reply-To: <7D13FA38-7874-4CF4-9E2C-F09A6E645D92@jdwuzhere.ru> References: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> <7D13FA38-7874-4CF4-9E2C-F09A6E645D92@jdwuzhere.ru> Message-ID: И можно поделиться с общественностью: а) помогло ли включение real_ip_recursive? б) что приезжало в заголовке X-Forwarded-For? On 04/07/16 15:28, Vladimir Sopot wrote: > Внезапно, подозреваю отсутствие в конфиге real_ip_recursive on; > Сегодня буду тестировать. > >> On 02 Jul 2016, at 19:24, Vladimir Sopot wrote: >> >> Да, конечно, есть и real_ip_header X-Forwarded-For; >> В конфиге есть ещё куча других сетей оперы и с ними, кажется, нет проблем. >> >>> On 02 Jul 2016, at 13:39, Fedor Dikarev wrote: >>> >>> Opera использует заголовок X-Forwarded-For для передачи адреса клиента, >>> а не X-Real-IP как nginx ожидает по-умолчанию. Добавьте: >>>> real_ip_header X-Forwarded-For; >>> >>>> http://nginx.org/ru/docs/http/ngx_http_realip_module.html#real_ip_header >>> >>> >>> 02.07.16 12:45, Vladimir Sopot пишет: >>>> Привет! >>>> >>>> В nginx.conf есть >>>> >>>> set_real_ip_from 185.26.180.0/22; >>>> fastcgi_param REMOTE_ADDR $remote_addr; >>>> >>>> Но при этом до php-fpm доходит >>>> >>>> $_SERVER["REMOTE_ADDR”]=185.26.182.31 >>>> >>>> nginx version: nginx/1.10.1 >>>> built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) >>>> built with OpenSSL 1.0.1e-fips 11 Feb 2013 >>>> TLS SNI support enabled >>>> configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module >>>> >>>> Чего не хватает котенку? >>>> >>>> _______________________________________________ >>>> nginx-ru mailing list >>>> nginx-ru на nginx.org >>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>>> >>> >>> -- >>> Fedor Dikarev >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- Fedor Dikarev From jd на jdwuzhere.ru Tue Jul 5 12:12:02 2016 From: jd на jdwuzhere.ru (Vladimir Sopot) Date: Tue, 5 Jul 2016 15:12:02 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbQ==?= In-Reply-To: References: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> <7D13FA38-7874-4CF4-9E2C-F09A6E645D92@jdwuzhere.ru> Message-ID: <308EFB0B-AF0A-4187-9948-DEED6C2987CD@jdwuzhere.ru> Из того, что удалось поймать - нет, не помогло. Приезжает “x-forwarded-for” (именно в таком регистре). > On 05 Jul 2016, at 14:54, Fedor Dikarev wrote: > > И можно поделиться с общественностью: > а) помогло ли включение real_ip_recursive? > б) что приезжало в заголовке X-Forwarded-For? > > On 04/07/16 15:28, Vladimir Sopot wrote: >> Внезапно, подозреваю отсутствие в конфиге real_ip_recursive on; >> Сегодня буду тестировать. >> >>> On 02 Jul 2016, at 19:24, Vladimir Sopot wrote: >>> >>> Да, конечно, есть и real_ip_header X-Forwarded-For; >>> В конфиге есть ещё куча других сетей оперы и с ними, кажется, нет проблем. >>> >>>> On 02 Jul 2016, at 13:39, Fedor Dikarev wrote: >>>> >>>> Opera использует заголовок X-Forwarded-For для передачи адреса клиента, >>>> а не X-Real-IP как nginx ожидает по-умолчанию. Добавьте: >>>>> real_ip_header X-Forwarded-For; >>>> >>>>> http://nginx.org/ru/docs/http/ngx_http_realip_module.html#real_ip_header >>>> >>>> >>>> 02.07.16 12:45, Vladimir Sopot пишет: >>>>> Привет! >>>>> >>>>> В nginx.conf есть >>>>> >>>>> set_real_ip_from 185.26.180.0/22; >>>>> fastcgi_param REMOTE_ADDR $remote_addr; >>>>> >>>>> Но при этом до php-fpm доходит >>>>> >>>>> $_SERVER["REMOTE_ADDR”]=185.26.182.31 >>>>> >>>>> nginx version: nginx/1.10.1 >>>>> built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) >>>>> built with OpenSSL 1.0.1e-fips 11 Feb 2013 >>>>> TLS SNI support enabled >>>>> configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module >>>>> >>>>> Чего не хватает котенку? >>>>> >>>>> _______________________________________________ >>>>> nginx-ru mailing list >>>>> nginx-ru на nginx.org >>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>>>> >>>> >>>> -- >>>> Fedor Dikarev >>>> >>>> _______________________________________________ >>>> nginx-ru mailing list >>>> nginx-ru на nginx.org >>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > -- > Fedor Dikarev > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum на forum.nginx.org Tue Jul 5 12:59:56 2016 From: nginx-forum на forum.nginx.org (skeletor) Date: Tue, 05 Jul 2016 08:59:56 -0400 Subject: =?UTF-8?B?cHJveHkgcGFzcyDQuCDQv9C10YDQtdC00LDQstCw0LXRgdGL0LUg0LfQsNCz0L4=?= =?UTF-8?B?0LvQvtCy0LrQuA==?= Message-ID: <0cde4a9e73e0d704daa648a0b96d7745.NginxMailingListRussian@forum.nginx.org> Всем привет. Никак не могу найти, информацию о том, передаёт ли nginx дальше через proxy_pass заголовок scheme, если это явно не указано? Суть в чём: на nginx приходит https, в локейшине прописано proxy_pass http://1.1.1.1:90, так вот: бэккнд (1.1.1.1) как-то может понять, что пришёл https БЕЗ явного указания proxy_set_header X-Scheme $scheme; proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto; ? Я почему-то склоняюсь к тому, что бэкенд никак не может это понять. Сам proxy_pass передаёт ли какие-то заголовки? Спасибо. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268063,268063#msg-268063 From mdounin на mdounin.ru Tue Jul 5 13:03:38 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 5 Jul 2016 16:03:38 +0300 Subject: =?UTF-8?B?UmU6INC+0YLQtNCw0YLRjCA0NDQg0LrQvtC0INCy0L7Qt9Cy0YDQsNGC0LAg0LQ=?= =?UTF-8?B?0LvRjyDQstGB0LXRhSDQvdC10YPQutCw0LfQsNC90L3Ri9GFINC40LzQtdC9?= =?UTF-8?B?INGB0LXRgNCy0LXRgNC+0LIg0LTQu9GPINCy0YHQtdGFINCw0LnQv9C4INCw?= =?UTF-8?B?0LTRgNC10YHQvtCyINGB0LXRgNCy0LXRgNCw?= In-Reply-To: References: Message-ID: <20160705130338.GF30781@mdounin.ru> Hello! On Tue, Jul 05, 2016 at 02:06:04PM +0300, Vasiliy Tolstov wrote: > Добрый день. > Есть сервер, на котором есть много айпи адресов (скажем 200). Хочется > для всех неописанных имен серверов для всех этих 200 адресов прописать > в одном месте return 444. > На текущий момент (nginx/1.9.14) нужно указывать дефолт сервер для > каждой пары ip:port. > Есть ли вариант указать для всех айпи адресов для порта 80 и 443 ? Сервер по умолчанию задаётся только для конкретного listen-сокета. Т.е. если вы хотите, чтобы виртуальные сервера для разных ip-адресов не пересекались, и для этого используете listen-сокеты на конкретных ip-адреса, то и сервер по умолчанию тоже надо задавать на конкретных ip-адресах, по другому - никак. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jul 5 13:10:41 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 5 Jul 2016 16:10:41 +0300 Subject: =?UTF-8?B?UmU6IHByb3h5IHBhc3Mg0Lgg0L/QtdGA0LXQtNCw0LLQsNC10YHRi9C1INC30LA=?= =?UTF-8?B?0LPQvtC70L7QstC60Lg=?= In-Reply-To: <0cde4a9e73e0d704daa648a0b96d7745.NginxMailingListRussian@forum.nginx.org> References: <0cde4a9e73e0d704daa648a0b96d7745.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160705131041.GG30781@mdounin.ru> Hello! On Tue, Jul 05, 2016 at 08:59:56AM -0400, skeletor wrote: > Всем привет. > Никак не могу найти, информацию о том, передаёт ли nginx дальше через > proxy_pass заголовок scheme, если это явно не указано? Суть в чём: на nginx > приходит https, в локейшине прописано proxy_pass http://1.1.1.1:90, так вот: > бэккнд (1.1.1.1) как-то может понять, что пришёл https БЕЗ явного указания > > proxy_set_header X-Scheme $scheme; > proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto; > > ? Я почему-то склоняюсь к тому, что бэкенд никак не может это понять. > Сам proxy_pass передаёт ли какие-то заголовки? По умолчанию передаются те заголовки, которые получены от бекенда. Изменения, если и вносятся, то минимальные, и они описаны тут: http://nginx.org/r/proxy_set_header/ru Каких-либо заголовков, указывающих на то, по http или https исходно пришёл клиент - по умолчанию не передаётся. -- Maxim Dounin http://nginx.org/ From v.tolstov на selfip.ru Tue Jul 5 13:11:31 2016 From: v.tolstov на selfip.ru (Vasiliy Tolstov) Date: Tue, 5 Jul 2016 16:11:31 +0300 Subject: =?UTF-8?B?UmU6INC+0YLQtNCw0YLRjCA0NDQg0LrQvtC0INCy0L7Qt9Cy0YDQsNGC0LAg0LQ=?= =?UTF-8?B?0LvRjyDQstGB0LXRhSDQvdC10YPQutCw0LfQsNC90L3Ri9GFINC40LzQtdC9?= =?UTF-8?B?INGB0LXRgNCy0LXRgNC+0LIg0LTQu9GPINCy0YHQtdGFINCw0LnQv9C4INCw?= =?UTF-8?B?0LTRgNC10YHQvtCyINGB0LXRgNCy0LXRgNCw?= In-Reply-To: <20160705130338.GF30781@mdounin.ru> References: <20160705130338.GF30781@mdounin.ru> Message-ID: 5 июля 2016 г., 16:03 пользователь Maxim Dounin написал: > Сервер по умолчанию задаётся только для конкретного listen-сокета. > Т.е. если вы хотите, чтобы виртуальные сервера для разных > ip-адресов не пересекались, и для этого используете listen-сокеты > на конкретных ip-адреса, то и сервер по умолчанию тоже надо > задавать на конкретных ip-адресах, по другому - никак. Спасибо. Так и думал =) -- Vasiliy Tolstov, e-mail: v.tolstov на yoctocloud.net From nginx-forum на forum.nginx.org Tue Jul 5 13:20:49 2016 From: nginx-forum на forum.nginx.org (jtiq) Date: Tue, 05 Jul 2016 09:20:49 -0400 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: <20160704040309.GN71640@Romans-MacBook-Air.local> References: <20160704040309.GN71640@Romans-MacBook-Air.local> Message-ID: <72433a2d077039c922be43930566aae5.NginxMailingListRussian@forum.nginx.org> Можете написать конкретнее на каком нибудь реальном примере, очень надо.. Если не сложно или есть время. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268018,268069#msg-268069 From mdounin на mdounin.ru Tue Jul 5 13:32:08 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 5 Jul 2016 16:32:08 +0300 Subject: =?UTF-8?B?UmU6IHJldmVyc2Vwcm94eSDQu9C+0LzQsNC10YLRgdGPINC30LDQs9C+0LvQvtCy?= =?UTF-8?B?0L7QuiDQvtGC0LLQtdGC0LAgIENvbnRlbnQtVHlwZQ==?= In-Reply-To: <36b2307d07074362169e61ca6bfcc9e1@bestmx.net> References: <20160704121734.GR30781@mdounin.ru> <20160705103327.GE30781@mdounin.ru> <36b2307d07074362169e61ca6bfcc9e1@bestmx.net> Message-ID: <20160705133208.GI30781@mdounin.ru> Hello! On Tue, Jul 05, 2016 at 02:40:11PM +0300, Andrey Oktyabrskiy wrote: > On 2016-07-05 13:33, Maxim Dounin wrote: > >>A proxy or gateway that receives an obs-fold in a response message > >> that is not within a message/http container MUST either discard the > >> message and replace it with a 502 (Bad Gateway) response, preferably > >> with a representation explaining that unacceptable line folding was > >> received, or replace each received obs-fold with one or more SP > >> octets prior to interpreting the field value or forwarding the > >> message downstream. > >> > >>То есть он по идее должен либо вернуть 502 ошибку, либо преобразовать > >>перевод каретки в пробел и отдать клиенту. Но он засовывает значения > >>после > >>LineFold в заголовок Connection: > > > >Как я уже говорил ранее, nginx не умеет обрабатывать line folding, > >совсем. Он просто рассматривает это как заголовки, начинающиеся с > >пробела, и отдаёт клиенту в [почти] том виде, в каком получил от > >бекенда. Последующее "склеивание" с другим заголовком - лишь > >следствие того, что заголовок специальный, и из-за этого порядок > >заголовков в ответе поменялся, и уже ваш клиент, поддерживающий > >line folding, засунул дополнительные строки в тот заголовок, > >который оказался перед ними. > > > >Допрограммировать в этом месте 502 с ошибкой в логах - возможно, > >имеет смысл. > Тогда уж лучше сделать настраиваемым: 502 или склеивать. Не всегда есть > возможность контролировать поведение бакенда. Склеивать - вряд ли. Использование folding'а в мире HTTP - встречается чуть реже, чем практически никогда, и явно запрещено современными RFC. От попыток склеивать - вреда будет практически гарантированно больше, чем пользы. Так что с точки зрения nginx'а гораздо проще просто попращаться с такими бекендами, и больше никогда не думать о том, что они вообще бывают. -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Tue Jul 5 16:22:42 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 5 Jul 2016 19:22:42 +0300 Subject: nginx-1.11.2 Message-ID: <20160705162242.GQ30781@mdounin.ru> Изменения в nginx 1.11.2 05.07.2016 *) Изменение: теперь nginx всегда использует внутренние реализации MD5 и SHA1; параметры configure --with-md5 и --with-sha1 упразднены. *) Добавление: поддержка переменных в модуле stream. *) Добавление: модуль ngx_stream_map_module. *) Добавление: модуль ngx_stream_return_module. *) Добавление: в директивах proxy_bind, fastcgi_bind, memcached_bind, scgi_bind и uwsgi_bind теперь можно указывать порт. *) Добавление: теперь nginx использует опцию сокета IP_BIND_ADDRESS_NO_PORT, если она доступна. *) Исправление: при использовании HTTP/2 и директивы proxy_request_buffering в рабочем процессе мог произойти segmentation fault. *) Исправление: при использовании HTTP/2 к запросам, передаваемым на бэкенд, всегда добавлялась строка заголовка "Content-Length", даже если у запроса не было тела. *) Исправление: при использовании HTTP/2 в логах могли появляться сообщения "http request count is zero". *) Исправление: при использовании директивы sub_filter могло буферизироваться больше данных, чем это необходимо; проблема появилась в 1.9.4. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Wed Jul 6 06:56:42 2016 From: nginx-forum на forum.nginx.org (skeletor) Date: Wed, 06 Jul 2016 02:56:42 -0400 Subject: =?UTF-8?B?UmU6IHByb3h5IHBhc3Mg0Lgg0L/QtdGA0LXQtNCw0LLQsNC10YHRi9C1INC30LA=?= =?UTF-8?B?0LPQvtC70L7QstC60Lg=?= In-Reply-To: <20160705131041.GG30781@mdounin.ru> References: <20160705131041.GG30781@mdounin.ru> Message-ID: Спасибо, теперь ясно. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268065,268103#msg-268103 From pavel.odintsov на gmail.com Wed Jul 6 13:55:38 2016 From: pavel.odintsov на gmail.com (Pavel Odintsov) Date: Wed, 6 Jul 2016 16:55:38 +0300 Subject: =?UTF-8?B?0JLQvtC/0YDQvtGBINC/0L4g0LzQvtC00YPQu9GOIHN0cmVhbSAtINGF0L7Rh9GD?= =?UTF-8?B?INC/0YDQvtC60YHQuNGA0L7QstCw0YLRjCBUQ1Ag0LIgVURQ?= Message-ID: Всем привет! Очень нравится модуль stream - прекрасная фишка ;) Но захотелось немного странного, имеется UDP сервер, к которому хочется добавить "быстрый" TCP и TLS силами Nginx. Но проблема в том, что при вот такой конфигурации: stream { upstream backend { server 127.0.0.1:1122 weight=5; server 127.0.0.22:1122 weight=1; } server { # Listen UDP listen 127.0.0.1:53 udp; # Listen TCP listen 127.0.0.1:53; # Listen TLS/SSL listen 127.0.0.1:853 ssl; proxy_connect_timeout 1s; proxy_timeout 3s; proxy_pass backend; ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key; ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; } } Если запрос на Nginx приходит по UDP, то он отправляется на бэкэнд по UDP. Если приходит по TCP либо SSL - он уходит по TCP на бэкэнд. Мне вот нужно, чтобы связь с бэкэндом была сугубо по UDP, но как этого достичь - не понимаю. Помогите, пожалуйста. Спасибо! -- Sincerely yours, Pavel Odintsov From arut на nginx.com Wed Jul 6 14:05:54 2016 From: arut на nginx.com (Roman Arutyunyan) Date: Wed, 6 Jul 2016 17:05:54 +0300 Subject: =?UTF-8?B?UmU6INCS0L7Qv9GA0L7RgSDQv9C+INC80L7QtNGD0LvRjiBzdHJlYW0gLSDRhdC+?= =?UTF-8?B?0YfRgyDQv9GA0L7QutGB0LjRgNC+0LLQsNGC0YwgVENQINCyIFVEUA==?= In-Reply-To: References: Message-ID: <20160706140554.GQ71640@Romans-MacBook-Air.local> Добрый день, On Wed, Jul 06, 2016 at 04:55:38PM +0300, Pavel Odintsov wrote: > Всем привет! > > Очень нравится модуль stream - прекрасная фишка ;) > > Но захотелось немного странного, имеется UDP сервер, к которому > хочется добавить "быстрый" TCP и TLS силами Nginx. > > Но проблема в том, что при вот такой конфигурации: > stream { > upstream backend { > server 127.0.0.1:1122 weight=5; > server 127.0.0.22:1122 weight=1; > } > server { > # Listen UDP > listen 127.0.0.1:53 udp; > # Listen TCP > listen 127.0.0.1:53; > > # Listen TLS/SSL > listen 127.0.0.1:853 ssl; > proxy_connect_timeout 1s; > proxy_timeout 3s; > proxy_pass backend; > ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key; > ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; > } > } > > Если запрос на Nginx приходит по UDP, то он отправляется на бэкэнд по > UDP. Если приходит по TCP либо SSL - он уходит по TCP на бэкэнд. > > Мне вот нужно, чтобы связь с бэкэндом была сугубо по UDP, но как этого > достичь - не понимаю. Пока никак. Протокол проксирования всегда тот же, что и протокол клиента. На текущий момент не ясно, насколько востребовано проксирование по другому протоколу. -- Roman Arutyunyan From pavel.odintsov на gmail.com Wed Jul 6 14:47:54 2016 From: pavel.odintsov на gmail.com (Pavel Odintsov) Date: Wed, 6 Jul 2016 17:47:54 +0300 Subject: =?UTF-8?B?UmU6INCS0L7Qv9GA0L7RgSDQv9C+INC80L7QtNGD0LvRjiBzdHJlYW0gLSDRhdC+?= =?UTF-8?B?0YfRgyDQv9GA0L7QutGB0LjRgNC+0LLQsNGC0YwgVENQINCyIFVEUA==?= In-Reply-To: <20160706140554.GQ71640@Romans-MacBook-Air.local> References: <20160706140554.GQ71640@Romans-MacBook-Air.local> Message-ID: Очень жаль, но технических преград получается этому нету? Вопрос сугубо в том, что нет опции для поддержки этой фичи? On Wednesday, 6 July 2016, Roman Arutyunyan wrote: > Добрый день, > > On Wed, Jul 06, 2016 at 04:55:38PM +0300, Pavel Odintsov wrote: > > Всем привет! > > > > Очень нравится модуль stream - прекрасная фишка ;) > > > > Но захотелось немного странного, имеется UDP сервер, к которому > > хочется добавить "быстрый" TCP и TLS силами Nginx. > > > > Но проблема в том, что при вот такой конфигурации: > > stream { > > upstream backend { > > server 127.0.0.1:1122 weight=5; > > server 127.0.0.22:1122 weight=1; > > } > > server { > > # Listen UDP > > listen 127.0.0.1:53 udp; > > # Listen TCP > > listen 127.0.0.1:53; > > > > # Listen TLS/SSL > > listen 127.0.0.1:853 ssl; > > proxy_connect_timeout 1s; > > proxy_timeout 3s; > > proxy_pass backend; > > ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key; > > ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; > > } > > } > > > > Если запрос на Nginx приходит по UDP, то он отправляется на бэкэнд по > > UDP. Если приходит по TCP либо SSL - он уходит по TCP на бэкэнд. > > > > Мне вот нужно, чтобы связь с бэкэндом была сугубо по UDP, но как этого > > достичь - не понимаю. > > Пока никак. Протокол проксирования всегда тот же, что и протокол клиента. > > На текущий момент не ясно, насколько востребовано проксирование по > другому протоколу. > > -- > Roman Arutyunyan > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sincerely yours, Pavel Odintsov ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From annulen на yandex.ru Wed Jul 6 16:26:47 2016 From: annulen на yandex.ru (Konstantin Tokarev) Date: Wed, 06 Jul 2016 19:26:47 +0300 Subject: =?UTF-8?B?UmU6INCS0L7Qv9GA0L7RgSDQv9C+INC80L7QtNGD0LvRjiBzdHJlYW0gLSDRhdC+?= =?UTF-8?B?0YfRgyDQv9GA0L7QutGB0LjRgNC+0LLQsNGC0YwgVENQINCyIFVEUA==?= In-Reply-To: References: <20160706140554.GQ71640@Romans-MacBook-Air.local> Message-ID: <827711467822407@web2j.yandex.ru> 06.07.2016, 17:48, "Pavel Odintsov" : > Очень жаль, но технических преград получается этому нету? Протоколы, основанные на UDP, часто зависят от того, что каждая датаграмма содержит независимое сообщение. Примитивное преобразование TCP -> UDP, которое можно было бы сделать в универсальном сервере вроде Nginx, будет разбивать непрерывный TCP-поток на датаграммы произвольным образом. Если этот вариант устраивает, тогда технических препятствий действительно нет. В противном случае в nginx придется реализовать отдельный протокол для пересылки датаграмм через TCP, а это уже более серьезная доработка > Вопрос сугубо в том, что нет опции для поддержки этой фичи? > > On Wednesday, 6 July 2016, Roman Arutyunyan wrote: >> Добрый день, >> >> On Wed, Jul 06, 2016 at 04:55:38PM +0300, Pavel Odintsov wrote: >>> Всем привет! >>> >>> Очень нравится модуль stream - прекрасная фишка ;) >>> >>> Но захотелось немного странного, имеется UDP сервер, к которому >>> хочется добавить "быстрый" TCP и TLS силами Nginx. >>> >>> Но проблема в том, что  при вот такой конфигурации: >>> stream { >>>     upstream backend { >>>         server 127.0.0.1:1122 weight=5; >>>         server 127.0.0.22:1122 weight=1; >>>     } >>>     server { >>>         # Listen UDP >>>         listen 127.0.0.1:53 udp; >>>         # Listen TCP >>>         listen 127.0.0.1:53; >>> >>>         # Listen TLS/SSL >>>         listen 127.0.0.1:853 ssl; >>>         proxy_connect_timeout 1s; >>>         proxy_timeout 3s; >>>         proxy_pass backend; >>>         ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key; >>>         ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; >>>     } >>> } >>> >>> Если запрос на Nginx приходит по UDP, то он отправляется на бэкэнд по >>> UDP. Если приходит по TCP либо SSL - он уходит по TCP на бэкэнд. >>> >>> Мне вот нужно, чтобы связь с бэкэндом была сугубо по UDP, но как этого >>> достичь - не понимаю. >> >> Пока никак.  Протокол проксирования всегда тот же, что и протокол клиента. >> >> На текущий момент не ясно, насколько востребовано проксирование по >> другому протоколу. >> >> -- >> Roman Arutyunyan >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > -- > Sincerely yours, Pavel Odintsov > , > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Regards, Konstantin From pavel.odintsov на gmail.com Wed Jul 6 18:02:20 2016 From: pavel.odintsov на gmail.com (Pavel Odintsov) Date: Wed, 6 Jul 2016 21:02:20 +0300 Subject: =?UTF-8?B?UmU6INCS0L7Qv9GA0L7RgSDQv9C+INC80L7QtNGD0LvRjiBzdHJlYW0gLSDRhdC+?= =?UTF-8?B?0YfRgyDQv9GA0L7QutGB0LjRgNC+0LLQsNGC0YwgVENQINCyIFVEUA==?= In-Reply-To: <827711467822407@web2j.yandex.ru> References: <20160706140554.GQ71640@Romans-MacBook-Air.local> <827711467822407@web2j.yandex.ru> Message-ID: Тут вопрос сложный. Конкретно мне от TCP нужна возможность принять от клиента не более XX байт запроса, передать их бэкэнду, забрать его ответ и раздать клиенту по TCP. Мне нужен spoon feeding в чистом виде. Если клиент прислал запрос по TCP больше, чем 65к (сколько предельно лезет в UDP) вполне разумно ожидать, что в этом случае он будет дропнут. 2016-07-06 19:26 GMT+03:00 Konstantin Tokarev : > > > 06.07.2016, 17:48, "Pavel Odintsov" : >> Очень жаль, но технических преград получается этому нету? > > Протоколы, основанные на UDP, часто зависят от того, что каждая датаграмма содержит независимое сообщение. Примитивное преобразование TCP -> UDP, которое можно было бы сделать в универсальном сервере вроде Nginx, будет разбивать непрерывный TCP-поток на датаграммы произвольным образом. Если этот вариант устраивает, тогда технических препятствий действительно нет. В противном случае в nginx придется реализовать отдельный протокол для пересылки датаграмм через TCP, а это уже более серьезная доработка > >> Вопрос сугубо в том, что нет опции для поддержки этой фичи? >> >> On Wednesday, 6 July 2016, Roman Arutyunyan wrote: >>> Добрый день, >>> >>> On Wed, Jul 06, 2016 at 04:55:38PM +0300, Pavel Odintsov wrote: >>>> Всем привет! >>>> >>>> Очень нравится модуль stream - прекрасная фишка ;) >>>> >>>> Но захотелось немного странного, имеется UDP сервер, к которому >>>> хочется добавить "быстрый" TCP и TLS силами Nginx. >>>> >>>> Но проблема в том, что при вот такой конфигурации: >>>> stream { >>>> upstream backend { >>>> server 127.0.0.1:1122 weight=5; >>>> server 127.0.0.22:1122 weight=1; >>>> } >>>> server { >>>> # Listen UDP >>>> listen 127.0.0.1:53 udp; >>>> # Listen TCP >>>> listen 127.0.0.1:53; >>>> >>>> # Listen TLS/SSL >>>> listen 127.0.0.1:853 ssl; >>>> proxy_connect_timeout 1s; >>>> proxy_timeout 3s; >>>> proxy_pass backend; >>>> ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key; >>>> ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; >>>> } >>>> } >>>> >>>> Если запрос на Nginx приходит по UDP, то он отправляется на бэкэнд по >>>> UDP. Если приходит по TCP либо SSL - он уходит по TCP на бэкэнд. >>>> >>>> Мне вот нужно, чтобы связь с бэкэндом была сугубо по UDP, но как этого >>>> достичь - не понимаю. >>> >>> Пока никак. Протокол проксирования всегда тот же, что и протокол клиента. >>> >>> На текущий момент не ясно, насколько востребовано проксирование по >>> другому протоколу. >>> >>> -- >>> Roman Arutyunyan >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> >> -- >> Sincerely yours, Pavel Odintsov >> , >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > -- > Regards, > Konstantin > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sincerely yours, Pavel Odintsov From nginx-forum на forum.nginx.org Wed Jul 6 18:25:38 2016 From: nginx-forum на forum.nginx.org (jtiq) Date: Wed, 06 Jul 2016 14:25:38 -0400 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: <20160704040309.GN71640@Romans-MacBook-Air.local> References: <20160704040309.GN71640@Romans-MacBook-Air.local> Message-ID: <64549eac6321490f7d42ccd2a3c3d9d2.NginxMailingListRussian@forum.nginx.org> Вообще реально ли слать запросы от IP клиента на сторонний сервер/сайт через свой nginx сервер? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268018,268125#msg-268125 From nginx-forum на forum.nginx.org Wed Jul 6 18:26:11 2016 From: nginx-forum на forum.nginx.org (jtiq) Date: Wed, 06 Jul 2016 14:26:11 -0400 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: <20160704040309.GN71640@Romans-MacBook-Air.local> References: <20160704040309.GN71640@Romans-MacBook-Air.local> Message-ID: <4f162b7b1d3c57dcb809facd3c5bc4d6.NginxMailingListRussian@forum.nginx.org> Roman Arutyunyan Wrote: ------------------------------------------------------- > Добрый день, > > On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: > > Здравствуйте, есть такой параметр proxy_bind > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind > > > > Параметр transparent (1.11.0) позволяет задать нелокальный IP-aдрес, > который > > будет использоваться в исходящих соединениях с проксируемым > сервером, > > например, реальный IP-адрес клиента: > > > > proxy_bind $remote_addr transparent; > > > > Для работы параметра необходимо запустить рабочие процессы nginx с > > привилегиями суперпользователя, а также настроить таблицу > маршрутизации ядра > > для перехвата сетевого трафика с проксируемого сервера. > > > > Помогите настроить таблицу маршрутизации ядра для перехвата сетевого > > трафика... > > > > ОС Ubuntu 14.04 > > https://www.kernel.org/doc/Documentation/networking/tproxy.txt > > -- > Roman Arutyunyan > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru Вообще реально ли слать запросы от IP клиента на сторонний сервер/сайт через свой nginx сервер? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268018,268126#msg-268126 From nginx-forum на forum.nginx.org Wed Jul 6 18:41:27 2016 From: nginx-forum на forum.nginx.org (holypapa) Date: Wed, 06 Jul 2016 14:41:27 -0400 Subject: 302 https to http Message-ID: <34fbd9a2c9db6015baba080b306be2b6.NginxMailingListRussian@forum.nginx.org> Добрый день. Я использую Nginx 1.9.5. В конфигурационном файле есть секция для кэширования статического контента в которой жётко прописаны шаблоны url для кэширования (20 минут). Вся динамика отдаётся апстримами. Выбор апстрима осуществляется на основе анализа заголовка X-Forwarded-Proto. Если X-Forwarded-Proto = http, то передаём на http://upstream1, если https то на https://upstream2 Апстрим обрабатывает запросы и отвечает либо 200 кодом, либо 302 в зависимости от его внутренней логики. Недавно я столкнулся с единичным случаем следующей проблемы: Неожиданно nginx стал возвращать клиентам на запрос POST https://my.domain/test вместо 302 кода с https://my.domain/next_step 302 код c редиректом на http://my.domain/test. Данные запросы всегда проксировались на апстримы, и уже они отвечали. В этом же случае запроса к апстримам не происходило, поле $upstream_addr содержало значение "-". Через 18 часов ситуация нормализовалась. Создалось ощущение что NGINX просто отдавал ответ из кэша, хотя для данного локейшена кэш не используется, да и для POST запросов он не возможен. Проблема была обнаружена уже постфактум. Может кто-то сталкивался с чем-то подобным. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268127,268127#msg-268127 From arut на nginx.com Wed Jul 6 18:49:42 2016 From: arut на nginx.com (Roman Arutyunyan) Date: Wed, 6 Jul 2016 21:49:42 +0300 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: <4f162b7b1d3c57dcb809facd3c5bc4d6.NginxMailingListRussian@forum.nginx.org> References: <20160704040309.GN71640@Romans-MacBook-Air.local> <4f162b7b1d3c57dcb809facd3c5bc4d6.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160706184942.GR71640@Romans-MacBook-Air.local> On Wed, Jul 06, 2016 at 02:26:11PM -0400, jtiq wrote: > Roman Arutyunyan Wrote: > ------------------------------------------------------- > > Добрый день, > > > > On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: > > > Здравствуйте, есть такой параметр proxy_bind > > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind > > > > > > Параметр transparent (1.11.0) позволяет задать нелокальный IP-aдрес, > > который > > > будет использоваться в исходящих соединениях с проксируемым > > сервером, > > > например, реальный IP-адрес клиента: > > > > > > proxy_bind $remote_addr transparent; > > > > > > Для работы параметра необходимо запустить рабочие процессы nginx с > > > привилегиями суперпользователя, а также настроить таблицу > > маршрутизации ядра > > > для перехвата сетевого трафика с проксируемого сервера. > > > > > > Помогите настроить таблицу маршрутизации ядра для перехвата сетевого > > > трафика... > > > > > > ОС Ubuntu 14.04 > > > > https://www.kernel.org/doc/Documentation/networking/tproxy.txt > > > > -- > > Roman Arutyunyan > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru на nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > Вообще реально ли слать запросы от IP клиента на сторонний сервер/сайт через > свой nginx сервер? На сторонний у вас врядли получится т.к. обратные пакеты пойдут на IP клиента и вы не сможете их перехватить. Вам надо сделать так, чтобы обратные пакеты с бекенда шли через nginx. Вы перехватите эти пакеты, настроив роутинг по приведенной выше ссылке и пакеты в итоге будут доставлены в nginx. -- Roman Arutyunyan From nginx-forum на forum.nginx.org Wed Jul 6 19:26:34 2016 From: nginx-forum на forum.nginx.org (jtiq) Date: Wed, 06 Jul 2016 15:26:34 -0400 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: <20160706184942.GR71640@Romans-MacBook-Air.local> References: <20160706184942.GR71640@Romans-MacBook-Air.local> Message-ID: <7910c807e32246bc19ed56e6f6deb7f6.NginxMailingListRussian@forum.nginx.org> Roman Arutyunyan Wrote: ------------------------------------------------------- > On Wed, Jul 06, 2016 at 02:26:11PM -0400, jtiq wrote: > > Roman Arutyunyan Wrote: > > ------------------------------------------------------- > > > Добрый день, > > > > > > On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: > > > > Здравствуйте, есть такой параметр proxy_bind > > > > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind > > > > > > > > Параметр transparent (1.11.0) позволяет задать нелокальный > IP-aдрес, > > > который > > > > будет использоваться в исходящих соединениях с проксируемым > > > сервером, > > > > например, реальный IP-адрес клиента: > > > > > > > > proxy_bind $remote_addr transparent; > > > > > > > > Для работы параметра необходимо запустить рабочие процессы nginx > с > > > > привилегиями суперпользователя, а также настроить таблицу > > > маршрутизации ядра > > > > для перехвата сетевого трафика с проксируемого сервера. > > > > > > > > Помогите настроить таблицу маршрутизации ядра для перехвата > сетевого > > > > трафика... > > > > > > > > ОС Ubuntu 14.04 > > > > > > https://www.kernel.org/doc/Documentation/networking/tproxy.txt > > > > > > -- > > > Roman Arutyunyan > > > > > > _______________________________________________ > > > nginx-ru mailing list > > > nginx-ru на nginx.org > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > Вообще реально ли слать запросы от IP клиента на сторонний > сервер/сайт через > > свой nginx сервер? > > На сторонний у вас врядли получится т.к. обратные пакеты пойдут на IP > клиента > и вы не сможете их перехватить. Вам надо сделать так, чтобы обратные > пакеты с > бекенда шли через nginx. Вы перехватите эти пакеты, настроив роутинг > по > приведенной выше ссылке и пакеты в итоге будут доставлены в nginx. > > -- > Roman Arutyunyan > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru т.е. мне бессмысленно вообще что то делать тогда? это только для локальных нужд? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268018,268129#msg-268129 From arut на nginx.com Wed Jul 6 19:49:07 2016 From: arut на nginx.com (Roman Arutyunyan) Date: Wed, 6 Jul 2016 22:49:07 +0300 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: <7910c807e32246bc19ed56e6f6deb7f6.NginxMailingListRussian@forum.nginx.org> References: <20160706184942.GR71640@Romans-MacBook-Air.local> <7910c807e32246bc19ed56e6f6deb7f6.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160706194907.GS71640@Romans-MacBook-Air.local> On Wed, Jul 06, 2016 at 03:26:34PM -0400, jtiq wrote: > Roman Arutyunyan Wrote: > ------------------------------------------------------- > > On Wed, Jul 06, 2016 at 02:26:11PM -0400, jtiq wrote: > > > Roman Arutyunyan Wrote: > > > ------------------------------------------------------- > > > > Добрый день, > > > > > > > > On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: > > > > > Здравствуйте, есть такой параметр proxy_bind > > > > > > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind > > > > > > > > > > Параметр transparent (1.11.0) позволяет задать нелокальный > > IP-aдрес, > > > > который > > > > > будет использоваться в исходящих соединениях с проксируемым > > > > сервером, > > > > > например, реальный IP-адрес клиента: > > > > > > > > > > proxy_bind $remote_addr transparent; > > > > > > > > > > Для работы параметра необходимо запустить рабочие процессы nginx > > с > > > > > привилегиями суперпользователя, а также настроить таблицу > > > > маршрутизации ядра > > > > > для перехвата сетевого трафика с проксируемого сервера. > > > > > > > > > > Помогите настроить таблицу маршрутизации ядра для перехвата > > сетевого > > > > > трафика... > > > > > > > > > > ОС Ubuntu 14.04 > > > > > > > > https://www.kernel.org/doc/Documentation/networking/tproxy.txt > > > > > > > > -- > > > > Roman Arutyunyan > > > > > > > > _______________________________________________ > > > > nginx-ru mailing list > > > > nginx-ru на nginx.org > > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > > > Вообще реально ли слать запросы от IP клиента на сторонний > > сервер/сайт через > > > свой nginx сервер? > > > > На сторонний у вас врядли получится т.к. обратные пакеты пойдут на IP > > клиента > > и вы не сможете их перехватить. Вам надо сделать так, чтобы обратные > > пакеты с > > бекенда шли через nginx. Вы перехватите эти пакеты, настроив роутинг > > по > > приведенной выше ссылке и пакеты в итоге будут доставлены в nginx. > > > > -- > > Roman Arutyunyan > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru на nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > т.е. мне бессмысленно вообще что то делать тогда? это только для локальных > нужд? Да. -- Roman Arutyunyan From nginx-forum на forum.nginx.org Wed Jul 6 20:40:38 2016 From: nginx-forum на forum.nginx.org (jtiq) Date: Wed, 06 Jul 2016 16:40:38 -0400 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: <20160706194907.GS71640@Romans-MacBook-Air.local> References: <20160706194907.GS71640@Romans-MacBook-Air.local> Message-ID: Roman Arutyunyan Wrote: ------------------------------------------------------- > On Wed, Jul 06, 2016 at 03:26:34PM -0400, jtiq wrote: > > Roman Arutyunyan Wrote: > > ------------------------------------------------------- > > > On Wed, Jul 06, 2016 at 02:26:11PM -0400, jtiq wrote: > > > > Roman Arutyunyan Wrote: > > > > ------------------------------------------------------- > > > > > Добрый день, > > > > > > > > > > On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: > > > > > > Здравствуйте, есть такой параметр proxy_bind > > > > > > > > > > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind > > > > > > > > > > > > Параметр transparent (1.11.0) позволяет задать нелокальный > > > IP-aдрес, > > > > > который > > > > > > будет использоваться в исходящих соединениях с проксируемым > > > > > сервером, > > > > > > например, реальный IP-адрес клиента: > > > > > > > > > > > > proxy_bind $remote_addr transparent; > > > > > > > > > > > > Для работы параметра необходимо запустить рабочие процессы > nginx > > > с > > > > > > привилегиями суперпользователя, а также настроить таблицу > > > > > маршрутизации ядра > > > > > > для перехвата сетевого трафика с проксируемого сервера. > > > > > > > > > > > > Помогите настроить таблицу маршрутизации ядра для перехвата > > > сетевого > > > > > > трафика... > > > > > > > > > > > > ОС Ubuntu 14.04 > > > > > > > > > > https://www.kernel.org/doc/Documentation/networking/tproxy.txt > > > > > > > > > > -- > > > > > Roman Arutyunyan > > > > > > > > > > _______________________________________________ > > > > > nginx-ru mailing list > > > > > nginx-ru на nginx.org > > > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > > > > > Вообще реально ли слать запросы от IP клиента на сторонний > > > сервер/сайт через > > > > свой nginx сервер? > > > > > > На сторонний у вас врядли получится т.к. обратные пакеты пойдут на > IP > > > клиента > > > и вы не сможете их перехватить. Вам надо сделать так, чтобы > обратные > > > пакеты с > > > бекенда шли через nginx. Вы перехватите эти пакеты, настроив > роутинг > > > по > > > приведенной выше ссылке и пакеты в итоге будут доставлены в nginx. > > > > > > -- > > > Roman Arutyunyan > > > > > > _______________________________________________ > > > nginx-ru mailing list > > > nginx-ru на nginx.org > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > т.е. мне бессмысленно вообще что то делать тогда? это только для > локальных > > нужд? > > Да. > > -- > Roman Arutyunyan > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru а вообще такое реально? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268018,268131#msg-268131 From pavel.odintsov на gmail.com Wed Jul 6 20:43:51 2016 From: pavel.odintsov на gmail.com (Pavel Odintsov) Date: Wed, 6 Jul 2016 23:43:51 +0300 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: References: <20160706194907.GS71640@Romans-MacBook-Air.local> Message-ID: Боюсь, что то, чего вы добиваетесь называется иностранным словом IP spoofing со всеми вытекающими следствиями из трактования данного слова. 2016-07-06 23:40 GMT+03:00 jtiq : > Roman Arutyunyan Wrote: > ------------------------------------------------------- >> On Wed, Jul 06, 2016 at 03:26:34PM -0400, jtiq wrote: >> > Roman Arutyunyan Wrote: >> > ------------------------------------------------------- >> > > On Wed, Jul 06, 2016 at 02:26:11PM -0400, jtiq wrote: >> > > > Roman Arutyunyan Wrote: >> > > > ------------------------------------------------------- >> > > > > Добрый день, >> > > > > >> > > > > On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: >> > > > > > Здравствуйте, есть такой параметр proxy_bind >> > > > > > >> > > >> http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind >> > > > > > >> > > > > > Параметр transparent (1.11.0) позволяет задать нелокальный >> > > IP-aдрес, >> > > > > который >> > > > > > будет использоваться в исходящих соединениях с проксируемым >> > > > > сервером, >> > > > > > например, реальный IP-адрес клиента: >> > > > > > >> > > > > > proxy_bind $remote_addr transparent; >> > > > > > >> > > > > > Для работы параметра необходимо запустить рабочие процессы >> nginx >> > > с >> > > > > > привилегиями суперпользователя, а также настроить таблицу >> > > > > маршрутизации ядра >> > > > > > для перехвата сетевого трафика с проксируемого сервера. >> > > > > > >> > > > > > Помогите настроить таблицу маршрутизации ядра для перехвата >> > > сетевого >> > > > > > трафика... >> > > > > > >> > > > > > ОС Ubuntu 14.04 >> > > > > >> > > > > https://www.kernel.org/doc/Documentation/networking/tproxy.txt >> > > > > >> > > > > -- >> > > > > Roman Arutyunyan >> > > > > >> > > > > _______________________________________________ >> > > > > nginx-ru mailing list >> > > > > nginx-ru на nginx.org >> > > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > > >> > > > Вообще реально ли слать запросы от IP клиента на сторонний >> > > сервер/сайт через >> > > > свой nginx сервер? >> > > >> > > На сторонний у вас врядли получится т.к. обратные пакеты пойдут на >> IP >> > > клиента >> > > и вы не сможете их перехватить. Вам надо сделать так, чтобы >> обратные >> > > пакеты с >> > > бекенда шли через nginx. Вы перехватите эти пакеты, настроив >> роутинг >> > > по >> > > приведенной выше ссылке и пакеты в итоге будут доставлены в nginx. >> > > >> > > -- >> > > Roman Arutyunyan >> > > >> > > _______________________________________________ >> > > nginx-ru mailing list >> > > nginx-ru на nginx.org >> > > http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > т.е. мне бессмысленно вообще что то делать тогда? это только для >> локальных >> > нужд? >> >> Да. >> >> -- >> Roman Arutyunyan >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > а вообще такое реально? > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268018,268131#msg-268131 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Sincerely yours, Pavel Odintsov From nginx-forum на forum.nginx.org Wed Jul 6 22:01:47 2016 From: nginx-forum на forum.nginx.org (jtiq) Date: Wed, 06 Jul 2016 18:01:47 -0400 Subject: =?UTF-8?B?UmU6INC/0L7QvNC+0YnRjCBwcm94eSBiaW5kIHRyYW5zcGFyZW50?= In-Reply-To: References: Message-ID: <4cf11989f0de79213b872562a650a0db.NginxMailingListRussian@forum.nginx.org> Pavel Odintsov Wrote: ------------------------------------------------------- > Боюсь, что то, чего вы добиваетесь называется иностранным словом IP > spoofing со всеми вытекающими следствиями из трактования данного > слова. > > 2016-07-06 23:40 GMT+03:00 jtiq : > > Roman Arutyunyan Wrote: > > ------------------------------------------------------- > >> On Wed, Jul 06, 2016 at 03:26:34PM -0400, jtiq wrote: > >> > Roman Arutyunyan Wrote: > >> > ------------------------------------------------------- > >> > > On Wed, Jul 06, 2016 at 02:26:11PM -0400, jtiq wrote: > >> > > > Roman Arutyunyan Wrote: > >> > > > ------------------------------------------------------- > >> > > > > Добрый день, > >> > > > > > >> > > > > On Sun, Jul 03, 2016 at 04:57:51PM -0400, jtiq wrote: > >> > > > > > Здравствуйте, есть такой параметр proxy_bind > >> > > > > > > >> > > > >> > http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_bind > >> > > > > > > >> > > > > > Параметр transparent (1.11.0) позволяет задать > нелокальный > >> > > IP-aдрес, > >> > > > > который > >> > > > > > будет использоваться в исходящих соединениях с > проксируемым > >> > > > > сервером, > >> > > > > > например, реальный IP-адрес клиента: > >> > > > > > > >> > > > > > proxy_bind $remote_addr transparent; > >> > > > > > > >> > > > > > Для работы параметра необходимо запустить рабочие > процессы > >> nginx > >> > > с > >> > > > > > привилегиями суперпользователя, а также настроить > таблицу > >> > > > > маршрутизации ядра > >> > > > > > для перехвата сетевого трафика с проксируемого сервера. > >> > > > > > > >> > > > > > Помогите настроить таблицу маршрутизации ядра для > перехвата > >> > > сетевого > >> > > > > > трафика... > >> > > > > > > >> > > > > > ОС Ubuntu 14.04 > >> > > > > > >> > > > > > https://www.kernel.org/doc/Documentation/networking/tproxy.txt > >> > > > > > >> > > > > -- > >> > > > > Roman Arutyunyan > >> > > > > > >> > > > > _______________________________________________ > >> > > > > nginx-ru mailing list > >> > > > > nginx-ru на nginx.org > >> > > > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > >> > > > > >> > > > Вообще реально ли слать запросы от IP клиента на сторонний > >> > > сервер/сайт через > >> > > > свой nginx сервер? > >> > > > >> > > На сторонний у вас врядли получится т.к. обратные пакеты пойдут > на > >> IP > >> > > клиента > >> > > и вы не сможете их перехватить. Вам надо сделать так, чтобы > >> обратные > >> > > пакеты с > >> > > бекенда шли через nginx. Вы перехватите эти пакеты, настроив > >> роутинг > >> > > по > >> > > приведенной выше ссылке и пакеты в итоге будут доставлены в > nginx. > >> > > > >> > > -- > >> > > Roman Arutyunyan > >> > > > >> > > _______________________________________________ > >> > > nginx-ru mailing list > >> > > nginx-ru на nginx.org > >> > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > >> > т.е. мне бессмысленно вообще что то делать тогда? это только для > >> локальных > >> > нужд? > >> > >> Да. > >> > >> -- > >> Roman Arutyunyan > >> > >> _______________________________________________ > >> nginx-ru mailing list > >> nginx-ru на nginx.org > >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > а вообще такое реально? > > > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,268018,268131#msg-268131 > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru на nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > -- > Sincerely yours, Pavel Odintsov > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru тогда другой вопрос: в proxy_bind я ставлю ip своего сервера, но в 50% случаев 500-я ошибка (имеется несколько внешних ip) как это исправить? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268018,268134#msg-268134 From nginx-forum на forum.nginx.org Fri Jul 8 13:42:26 2016 From: nginx-forum на forum.nginx.org (Artem Suvorov) Date: Fri, 08 Jul 2016 09:42:26 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEgY3VybCwgcHJveHkgY2FjaGUg0LggQ29u?= =?UTF-8?B?dGVudC1MZW5naHQ=?= In-Reply-To: <20140306170622.GP34696@mdounin.ru> References: <20140306170622.GP34696@mdounin.ru> Message-ID: Добрый день, столкнулся с такой же проблемой. Подскажите было ли найдено ее решение за прошедшие 2 года? Готов сотрудничать для решения вопроса)) nginx -V nginx version: nginx/1.8.1 built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04) built with OpenSSL 1.0.1f 6 Jan 2014 TLS SNI support enabled configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-mail --with-mail_ssl_module --with-file-aio --with-http_spdy_module --with-http_image_filter_module --with-ipv6 --add-module=SOURCES/ngx_http_redis-0.3.8 --add-module=SOURCES/ngx_cache_purge-2.3 --add-module=SOURCES/redis2-nginx-module-master --add-module=SOURCES/lua-nginx-module-0.10.0 --add-module=SOURCES/ngx_devel_kit-0.2.19 curl -V curl 7.49.1 (x86_64-redhat-linux-gnu) libcurl/7.49.1 OpenSSL/1.0.1e zlib/1.2.3 c-ares/1.11.0 libidn/1.18 libssh2/1.7.0 nghttp2/1.6.0 Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz HTTP2 UnixSockets Metalin Posted at Nginx Forum: https://forum.nginx.org/read.php?21,248133,268193#msg-268193 From vbart на nginx.com Fri Jul 8 13:46:41 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 08 Jul 2016 16:46:41 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEgY3VybCwgcHJveHkgY2FjaGUg0LggQ29u?= =?UTF-8?B?dGVudC1MZW5naHQ=?= In-Reply-To: References: <20140306170622.GP34696@mdounin.ru> Message-ID: <34142590.qkEgvXuNkq@vbart-workstation> On Friday 08 July 2016 09:42:26 Artem Suvorov wrote: > Добрый день, столкнулся с такой же проблемой. Подскажите было ли найдено ее > решение за прошедшие 2 года? > Готов сотрудничать для решения вопроса)) > > nginx -V > nginx version: nginx/1.8.1 > built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04) > built with OpenSSL 1.0.1f 6 Jan 2014 > TLS SNI support enabled > configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx > --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log > --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid > --lock-path=/var/run/nginx.lock > --http-client-body-temp-path=/var/cache/nginx/client_temp > --http-proxy-temp-path=/var/cache/nginx/proxy_temp > --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp > --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp > --http-scgi-temp-path=/var/cache/nginx/scgi_temp --with-http_ssl_module > --with-http_realip_module --with-http_addition_module --with-http_sub_module > --with-http_dav_module --with-http_flv_module --with-http_mp4_module > --with-http_gunzip_module --with-http_gzip_static_module > --with-http_random_index_module --with-http_secure_link_module > --with-http_stub_status_module --with-http_auth_request_module --with-mail > --with-mail_ssl_module --with-file-aio --with-http_spdy_module > --with-http_image_filter_module --with-ipv6 > --add-module=SOURCES/ngx_http_redis-0.3.8 > --add-module=SOURCES/ngx_cache_purge-2.3 > --add-module=SOURCES/redis2-nginx-module-master > --add-module=SOURCES/lua-nginx-module-0.10.0 > --add-module=SOURCES/ngx_devel_kit-0.2.19 [..] Начать видимо стоит с того, что проверить, а воспроизводится ли проблема без сторонних модулей и на актуальных версиях nginx. -- Валентин Бартенев From nginx-forum на forum.nginx.org Sat Jul 9 07:45:23 2016 From: nginx-forum на forum.nginx.org (dwow) Date: Sat, 09 Jul 2016 03:45:23 -0400 Subject: =?UTF-8?Q?try_files_=D0=B8_gzip_static?= Message-ID: Добрый день! Такой вопрос. Отдаю большой объем статики через try_files, но так как объемы большие, то использую модуль http://nginx.org/ru/docs/http/ngx_http_gzip_static_module.html#gzip_static соответственно, все файлы HTML сжаты с помощью gzip и хранятся только сжатые копии. Если указывать try_file "dir/index.html", то, естественно, они не находятся. Если указывать try_file "dir/index.html.gz", то файл всегда отдается в сжатом виде и модуль http://nginx.org/ru/docs/http/ngx_http_gunzip_module.html не работает. И заголовки, естественно, разные. Есть вариант сделать, чтобы все коректно работало через try_files? Спасибо. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268206,268206#msg-268206 From annulen на yandex.ru Sat Jul 9 17:08:41 2016 From: annulen на yandex.ru (Konstantin Tokarev) Date: Sat, 09 Jul 2016 20:08:41 +0300 Subject: =?UTF-8?Q?Re=3A_try_files_=D0=B8_gzip_static?= In-Reply-To: References: Message-ID: <1052411468084121@web29j.yandex.ru> 09.07.2016, 10:45, "dwow" : > Добрый день! > > Такой вопрос. Отдаю большой объем статики через try_files, но так как объемы > большие, то использую модуль > http://nginx.org/ru/docs/http/ngx_http_gzip_static_module.html#gzip_static > соответственно, все файлы HTML сжаты с помощью gzip и хранятся только сжатые > копии. Не все клиенты поддерживают Content-Encoding gzip (например, curl без опции --compressed), поэтому хранить сжатые копии без оригиналов некорректно. > > Если указывать try_file "dir/index.html", то, естественно, они не > находятся. > Если указывать try_file "dir/index.html.gz", то файл всегда отдается в > сжатом виде и модуль > http://nginx.org/ru/docs/http/ngx_http_gunzip_module.html не работает. > И заголовки, естественно, разные. > > Есть вариант сделать, чтобы все коректно работало через try_files? > Спасибо. > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268206,268206#msg-268206 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Regards, Konstantin From marck на rinet.ru Sat Jul 9 21:58:47 2016 From: marck на rinet.ru (Dmitry Morozovsky) Date: Sun, 10 Jul 2016 00:58:47 +0300 (MSK) Subject: =?UTF-8?Q?Re=3A_try_files_=D0=B8_gzip_static?= In-Reply-To: <1052411468084121@web29j.yandex.ru> References: <1052411468084121@web29j.yandex.ru> Message-ID: On Sat, 9 Jul 2016, Konstantin Tokarev wrote: > > Такой вопрос. Отдаю большой объем статики через try_files, но так как объемы > > большие, то использую модуль > > http://nginx.org/ru/docs/http/ngx_http_gzip_static_module.html#gzip_static > > соответственно, все файлы HTML сжаты с помощью gzip и хранятся только сжатые > > копии. > > Не все клиенты поддерживают Content-Encoding gzip (например, curl без опции --compressed), > поэтому хранить сжатые копии без оригиналов некорректно. ... при этом, подавляющее большинство клиентов таки поддерживает, поэтому отправить остальных на бэкенд за контентом (ок, случай DoS не рассматриваем) -- выглядит нормально. -- Sincerely, D.Marck [DM5020, MCK-RIPE, DM3-RIPN] [ FreeBSD committer: marck на FreeBSD.org ] ------------------------------------------------------------------------ *** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- marck на rinet.ru *** ------------------------------------------------------------------------ From vbart на nginx.com Sun Jul 10 04:29:04 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Sun, 10 Jul 2016 07:29:04 +0300 Subject: =?UTF-8?Q?Re=3A_try_files_=D0=B8_gzip_static?= In-Reply-To: References: Message-ID: <4184189.COWDl2Q7Bx@vbart-laptop> On Saturday 09 July 2016 03:45:23 dwow wrote: > Добрый день! > > Такой вопрос. Отдаю большой объем статики через try_files, но так как объемы > большие, то использую модуль > http://nginx.org/ru/docs/http/ngx_http_gzip_static_module.html#gzip_static > соответственно, все файлы HTML сжаты с помощью gzip и хранятся только сжатые > копии. > > Если указывать try_file "dir/index.html", то, естественно, они не > находятся. > Если указывать try_file "dir/index.html.gz", то файл всегда отдается в > сжатом виде и модуль > http://nginx.org/ru/docs/http/ngx_http_gunzip_module.html не работает. > И заголовки, естественно, разные. > > Есть вариант сделать, чтобы все коректно работало через try_files? > Спасибо. [..] Чем вариант не использовать try_files не устраивает? -- Валентин Бартенев From nginx-forum на forum.nginx.org Sun Jul 10 06:06:03 2016 From: nginx-forum на forum.nginx.org (dwow) Date: Sun, 10 Jul 2016 02:06:03 -0400 Subject: =?UTF-8?Q?Re=3A_try_files_=D0=B8_gzip_static?= In-Reply-To: <1052411468084121@web29j.yandex.ru> References: <1052411468084121@web29j.yandex.ru> Message-ID: Konstantin Tokarev Wrote: ------------------------------------------------------- > > Не все клиенты поддерживают Content-Encoding gzip (например, curl без > опции --compressed), > поэтому хранить сжатые копии без оригиналов некорректно. Для этого у nginx, есть прекрасный модуль gunzip, который распаковывает "на лету" контент, для тех, кто не поддерживает сжатый, но он не работает в случае try_files. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268212,268218#msg-268218 From nginx на kinetiksoft.com Sun Jul 10 08:50:46 2016 From: nginx на kinetiksoft.com (=?utf-8?B?0JjQstCw0L0=?=) Date: Sun, 10 Jul 2016 11:50:46 +0300 Subject: =?UTF-8?B?0JfQsNCz0LDQtNC+0YfQvdGL0Lwg0L7QsdGA0LDQt9C+0Lwg0L/RgNC+0LHQuNCy?= =?UTF-8?B?0LDQtdGC0YHRjyDQutGN0Yg=?= Message-ID: <8393802.hLN0GnngyD@cybernote> Здравствуйте! Есть группа серверов-эджкй проксирующих видео-файлы HLS (*.ts) на ориджины. Трафик до ориджинов должен быть максимально снижен, то есть каждый видеофайл должен проксироваться единожды, кешируясь на эджах. На всех эджах группы все в порядке, а на одном, ничем явным от других не отличающихся кэш пробивается и каждый видео файл запрашивается по десятку раз, трафик возрастает в пять раз. Конфигурация на эджах не различается - эджи раскатываются из одной конфигурации ансиблем. Различаются только ипы. Ситуация исправляется сразу после перезагрузки этого эджа и вновь ломается через несколько дней беспрерывной работы. Выключить nginx на 10 минут на эдже не помогает. Запросы вот такие: GET /place/stream/cam4-timestamp.ts - все без $args прокси-зона задается вот так: proxy_cache_path /var/cache/nginx/edge_video keys_zone=v_e_v:3m inactive=3m max_size=1g; location на эджах выглядит вот так: location /place/stream { #чанки proxy_ssl_name origin.domain.com; include proxy_headers.inc; proxy_set_header host origin.domain.com; proxy_buffer_size 16k; proxy_buffers 32 16k; proxy_cache v_e_v; proxy_cache_valid any 1m; proxy_cache_use_stale updating; proxy_cache_key "$uri$is_args$args"; proxy_cache_lock on; proxy_pass https://o-place/place/video; } апстрим вот такой: upstream o-place { server ip4_1:443 fail_timeout=60 max_fails=3 weight=3; server ip6_1:443 fail_timeout=60 max_fails=3 weight=3; server ip4_2:443 fail_timeout=60 max_fails=3 weight=1; server ip6_2:443 fail_timeout=60 max_fails=3 weight=1; server ip4_3:443 fail_timeout=60 max_fails=3 backup; server ip6_3:443 fail_timeout=60 max_fails=3 backup; keepalive 500; } Кипалайвы задали такой большой, так как памяти много, а маленький кипалайв давал очень большой rps до ориджинов. nginx пробовал 1.10.1 и 1.11.2 из репозиториев дебиана на nginx.org. nginx version: nginx/1.11.2 built by gcc 4.9.2 (Debian 4.9.2-10) built with OpenSSL 1.0.1k 8 Jan 2015 (running with OpenSSL 1.0.1t 3 May 2016) TLS SNI support enabled configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules- path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log- path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid- path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp -- user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with- http_addition_module --with-http_sub_module --with-http_dav_module --with- http_flv_module --with-http_mp4_module --with-http_gunzip_module --with- http_gzip_static_module --with-http_random_index_module --with- http_secure_link_module --with-http_stub_status_module --with- http_auth_request_module --with-http_xslt_module=dynamic --with- http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with- http_perl_module=dynamic --add-dynamic-module=debian/extra/njs-ef2b708510b1/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module --with-cc-opt='-g - O2 -fstack-protector-strong -Wformat -Werror=format-security -Wp,- D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,--as-needed' С уважением, Иван Прокудин. ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From basil на vpm.net.ua Sun Jul 10 09:10:45 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Sun, 10 Jul 2016 12:10:45 +0300 Subject: =?UTF-8?B?UmU6INCX0LDQs9Cw0LTQvtGH0L3Ri9C8INC+0LHRgNCw0LfQvtC8INC/0YDQvtCx?= =?UTF-8?B?0LjQstCw0LXRgtGB0Y8g0LrRjdGI?= In-Reply-To: <8393802.hLN0GnngyD@cybernote> References: <8393802.hLN0GnngyD@cybernote> Message-ID: если /var/cache/nginx/edge_video отдельный раздел, то лучше дописать use_temp_path=off proxy_cache_path /var/cache/nginx/edge_video keys_zone=v_e_v:3m inactive=3m max_size=1g; use_temp_path=off Ну и тупой вопрос - с винтами все окей, места в темпе хватает? 10 июля 2016 г., 11:50 пользователь Иван написал: > Здравствуйте! > > > > Есть группа серверов-эджкй проксирующих видео-файлы HLS (*.ts) на > ориджины. Трафик до ориджинов должен быть максимально снижен, то есть > каждый видеофайл должен проксироваться единожды, кешируясь на эджах. > > > > На всех эджах группы все в порядке, а на одном, ничем явным от других не > отличающихся кэш пробивается и каждый видео файл запрашивается по десятку > раз, > > трафик возрастает в пять раз. Конфигурация на эджах не различается - эджи > раскатываются из одной конфигурации ансиблем. Различаются только ипы. > > > > Ситуация исправляется сразу после перезагрузки этого эджа и вновь ломается > через несколько дней беспрерывной работы. Выключить nginx на 10 минут на > эдже не помогает. > > > > Запросы вот такие: > > GET /place/stream/cam4-timestamp.ts - все без $args > > > > прокси-зона задается вот так: > > proxy_cache_path /var/cache/nginx/edge_video keys_zone=v_e_v:3m > inactive=3m max_size=1g; > > location на эджах выглядит вот так: > > location /place/stream { > > #чанки > > proxy_ssl_name origin.domain.com; > > > > include proxy_headers.inc; > > proxy_set_header host origin.domain.com; > > proxy_buffer_size 16k; > > proxy_buffers 32 16k; > > > > proxy_cache v_e_v; > > proxy_cache_valid any 1m; > > > > proxy_cache_use_stale updating; > > proxy_cache_key "$uri$is_args$args"; > > proxy_cache_lock on; > > > > proxy_pass https://o-place/place/video; > > } > > > > апстрим вот такой: > > upstream o-place { > > server ip4_1:443 fail_timeout=60 max_fails=3 weight=3; > > server ip6_1:443 fail_timeout=60 max_fails=3 weight=3; > > server ip4_2:443 fail_timeout=60 max_fails=3 weight=1; > > server ip6_2:443 fail_timeout=60 max_fails=3 weight=1; > > server ip4_3:443 fail_timeout=60 max_fails=3 backup; > > server ip6_3:443 fail_timeout=60 max_fails=3 backup; > > keepalive 500; > > } > > > > Кипалайвы задали такой большой, так как памяти много, а маленький кипалайв > давал очень большой rps до ориджинов. > > > > nginx пробовал 1.10.1 и 1.11.2 из репозиториев дебиана на nginx.org. > > nginx version: nginx/1.11.2 > > built by gcc 4.9.2 (Debian 4.9.2-10) > > built with OpenSSL 1.0.1k 8 Jan 2015 (running with OpenSSL 1.0.1t 3 May > 2016) > > TLS SNI support enabled > > configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx > --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf > --error-log-path=/var/log/nginx/error.log > --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid > --lock-path=/var/run/nginx.lock > --http-client-body-temp-path=/var/cache/nginx/client_temp > --http-proxy-temp-path=/var/cache/nginx/proxy_temp > --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp > --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp > --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx > --with-http_ssl_module --with-http_realip_module > --with-http_addition_module --with-http_sub_module --with-http_dav_module > --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module > --with-http_gzip_static_module --with-http_random_index_module > --with-http_secure_link_module --with-http_stub_status_module > --with-http_auth_request_module --with-http_xslt_module=dynamic > --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic > --with-http_perl_module=dynamic > --add-dynamic-module=debian/extra/njs-ef2b708510b1/nginx --with-threads > --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail > --with-mail_ssl_module --with-file-aio --with-ipv6 --with-http_v2_module > --with-cc-opt='-g -O2 -fstack-protector-strong -Wformat > -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' > --with-ld-opt='-Wl,-z,relro -Wl,--as-needed' > > > > С уважением, Иван Прокудин. > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From vbart на nginx.com Sun Jul 10 09:16:44 2016 From: vbart на nginx.com (Valentin V. Bartenev) Date: Sun, 10 Jul 2016 12:16:44 +0300 Subject: =?UTF-8?B?UmU6INCX0LDQs9Cw0LTQvtGH0L3Ri9C8INC+0LHRgNCw0LfQvtC8INC/0YDQvtCx?= =?UTF-8?B?0LjQstCw0LXRgtGB0Y8g0LrRjdGI?= In-Reply-To: <8393802.hLN0GnngyD@cybernote> References: <8393802.hLN0GnngyD@cybernote> Message-ID: <4505000.Ta6tFs6toK@vbart-laptop> On Sunday 10 July 2016 11:50:46 Иван wrote: > Здравствуйте! > > Есть группа серверов-эджкй проксирующих видео-файлы HLS (*.ts) на ориджины. > Трафик до ориджинов должен быть максимально снижен, то есть каждый видеофайл > должен проксироваться единожды, кешируясь на эджах. > > На всех эджах группы все в порядке, а на одном, ничем явным от других не > отличающихся кэш пробивается и каждый видео файл запрашивается по десятку > раз, > трафик возрастает в пять раз. Конфигурация на эджах не различается - эджи > раскатываются из одной конфигурации ансиблем. Различаются только ипы. > > Ситуация исправляется сразу после перезагрузки этого эджа и вновь ломается через > несколько дней беспрерывной работы. Выключить nginx на 10 минут на эдже не > помогает. > > Запросы вот такие: > GET /place/stream/cam4-timestamp.ts - все без $args [..] А в error_log что? -- Валентин Бартенев From nginx на kinetiksoft.com Sun Jul 10 09:47:40 2016 From: nginx на kinetiksoft.com (=?utf-8?B?0JjQstCw0L0=?=) Date: Sun, 10 Jul 2016 12:47:40 +0300 Subject: =?UTF-8?B?UmU6INCX0LDQs9Cw0LTQvtGH0L3Ri9C8INC+0LHRgNCw0LfQvtC8INC/0YDQvtCx?= =?UTF-8?B?0LjQstCw0LXRgtGB0Y8g0LrRjdGI?= In-Reply-To: <4505000.Ta6tFs6toK@vbart-laptop> References: <8393802.hLN0GnngyD@cybernote> <4505000.Ta6tFs6toK@vbart-laptop> Message-ID: <2471896.ZjtuyLo2BW@cybernote> В письме от 10 июля 2016 12:16:44 пользователь Valentin V. Bartenev написал: > On Sunday 10 July 2016 11:50:46 Иван wrote: > > Здравствуйте! > > > > Есть группа серверов-эджкй проксирующих видео-файлы HLS (*.ts) на > > ориджины. > > Трафик до ориджинов должен быть максимально снижен, то есть каждый > > видеофайл должен проксироваться единожды, кешируясь на эджах. > > > > На всех эджах группы все в порядке, а на одном, ничем явным от других не > > отличающихся кэш пробивается и каждый видео файл запрашивается по десятку > > раз, > > трафик возрастает в пять раз. Конфигурация на эджах не различается - эджи > > раскатываются из одной конфигурации ансиблем. Различаются только ипы. > > > > Ситуация исправляется сразу после перезагрузки этого эджа и вновь ломается > > через несколько дней беспрерывной работы. Выключить nginx на 10 минут на > > эдже не помогает. > > > > Запросы вот такие: > > GET /place/stream/cam4-timestamp.ts - все без $args > > [..] > > А в error_log что? > > -- Совсем ничего. ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx на kinetiksoft.com Sun Jul 10 09:51:12 2016 From: nginx на kinetiksoft.com (=?utf-8?B?0JjQstCw0L0=?=) Date: Sun, 10 Jul 2016 12:51:12 +0300 Subject: =?UTF-8?B?UmU6INCX0LDQs9Cw0LTQvtGH0L3Ri9C8INC+0LHRgNCw0LfQvtC8INC/0YDQvtCx?= =?UTF-8?B?0LjQstCw0LXRgtGB0Y8g0LrRjdGI?= In-Reply-To: References: <8393802.hLN0GnngyD@cybernote> Message-ID: <5739365.PeaCCKj4Aj@cybernote> В письме от 10 июля 2016 12:10:45 пользователь Vasiliy P. Melnik написал: > если /var/cache/nginx/edge_video отдельный раздел, то лучше дописать > use_temp_path=off > > proxy_cache_path /var/cache/nginx/edge_video keys_zone=v_e_v:3m inactive=3m > max_size=1g; use_temp_path=off > > Ну и тупой вопрос - с винтами все окей, места в темпе хватает? Отдельный раздел только - /var . С винтами ок, места хватает. Я грешу на что-то связанное с keepalive, но не понимаю отчетливо на что. > > > 10 июля 2016 г., 11:50 пользователь Иван написал: > > > > Здравствуйте! > > > > > > > > > > > > Есть группа серверов-эджкй проксирующих видео-файлы HLS (*.ts) на > > ориджины. Трафик до ориджинов должен быть максимально снижен, то есть > > каждый видеофайл должен проксироваться единожды, кешируясь на эджах. > > > > > > > > > > > > На всех эджах группы все в порядке, а на одном, ничем явным от других не > > отличающихся кэш пробивается и каждый видео файл запрашивается по десятку > > раз, > > > > > > > > трафик возрастает в пять раз. Конфигурация на эджах не различается - эджи > > раскатываются из одной конфигурации ансиблем. Различаются только ипы. > > > > > > > > > > > > Ситуация исправляется сразу после перезагрузки этого эджа и вновь > > ломается > > через несколько дней беспрерывной работы. Выключить nginx на 10 минут на > > эдже не помогает. > > > > > > > > > > > > Запросы вот такие: > > > > > > > > GET /place/stream/cam4-timestamp.ts - все без $args > > > > > > > > > > > > прокси-зона задается вот так: > > > > > > > > proxy_cache_path /var/cache/nginx/edge_video keys_zone=v_e_v:3m > > inactive=3m max_size=1g; > > > > > > > > location на эджах выглядит вот так: > > > > > > > > location /place/stream { > > > > > > > > #чанки > > > > > > > > proxy_ssl_name origin.domain.com; > > > > > > > > > > > > include proxy_headers.inc; > > > > > > > > proxy_set_header host origin.domain.com; > > > > > > > > proxy_buffer_size 16k; > > > > > > > > proxy_buffers 32 16k; > > > > > > > > > > > > proxy_cache v_e_v; > > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From bgx на protva.ru Sun Jul 10 09:51:06 2016 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Sun, 10 Jul 2016 12:51:06 +0300 Subject: =?UTF-8?B?UmU6INCX0LDQs9Cw0LTQvtGH0L3Ri9C8INC+0LHRgNCw0LfQvtC8INC/0YDQvtCx?= =?UTF-8?B?0LjQstCw0LXRgtGB0Y8g0LrRjdGI?= In-Reply-To: <8393802.hLN0GnngyD@cybernote> References: <8393802.hLN0GnngyD@cybernote> Message-ID: <20160710095106.GL3614@sie.protva.ru> On Sun, Jul 10, 2016 at 11:50:46AM +0300, Иван wrote: > Ситуация исправляется сразу после перезагрузки этого эджа и вновь ломается через > несколько дней беспрерывной работы. Выключить nginx на 10 минут на эдже не > помогает. Классический симптом выедания оперативки посторонними и нехватки памяти для nginx. -- Eugene Berdnikov From vbart на nginx.com Sun Jul 10 09:56:44 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Sun, 10 Jul 2016 12:56:44 +0300 Subject: =?UTF-8?B?UmU6INCX0LDQs9Cw0LTQvtGH0L3Ri9C8INC+0LHRgNCw0LfQvtC8INC/0YDQvtCx?= =?UTF-8?B?0LjQstCw0LXRgtGB0Y8g0LrRjdGI?= In-Reply-To: <2471896.ZjtuyLo2BW@cybernote> References: <8393802.hLN0GnngyD@cybernote> <4505000.Ta6tFs6toK@vbart-laptop> <2471896.ZjtuyLo2BW@cybernote> Message-ID: <2891545.L2ae9FDTu5@vbart-laptop> On Sunday 10 July 2016 12:47:40 Иван wrote: > В письме от 10 июля 2016 12:16:44 пользователь Valentin V. Bartenev написал: > > On Sunday 10 July 2016 11:50:46 Иван wrote: > > > Здравствуйте! > > > > > > Есть группа серверов-эджкй проксирующих видео-файлы HLS (*.ts) на > > > ориджины. > > > Трафик до ориджинов должен быть максимально снижен, то есть каждый > > > видеофайл должен проксироваться единожды, кешируясь на эджах. > > > > > > На всех эджах группы все в порядке, а на одном, ничем явным от других не > > > отличающихся кэш пробивается и каждый видео файл запрашивается по десятку > > > раз, > > > трафик возрастает в пять раз. Конфигурация на эджах не различается - эджи > > > раскатываются из одной конфигурации ансиблем. Различаются только ипы. > > > > > > Ситуация исправляется сразу после перезагрузки этого эджа и вновь ломается > > > через несколько дней беспрерывной работы. Выключить nginx на 10 минут на > > > эдже не помогает. > > > > > > Запросы вот такие: > > > GET /place/stream/cam4-timestamp.ts - все без $args > > > > [..] > > > > А в error_log что? > > > > -- > > Совсем ничего. Стоит включить дебаг лог в тот момент, когда это начинает происходить. -- Валентин Бартенев From nginx на kinetiksoft.com Sun Jul 10 09:57:11 2016 From: nginx на kinetiksoft.com (=?utf-8?B?0JjQstCw0L0=?=) Date: Sun, 10 Jul 2016 12:57:11 +0300 Subject: =?UTF-8?B?UmU6INCX0LDQs9Cw0LTQvtGH0L3Ri9C8INC+0LHRgNCw0LfQvtC8INC/0YDQvtCx?= =?UTF-8?B?0LjQstCw0LXRgtGB0Y8g0LrRjdGI?= In-Reply-To: <20160710095106.GL3614@sie.protva.ru> References: <8393802.hLN0GnngyD@cybernote> <20160710095106.GL3614@sie.protva.ru> Message-ID: <4426549.BXUndPnuiM@cybernote> В письме от 10 июля 2016 12:51:06 пользователь Evgeniy Berdnikov написал: > On Sun, Jul 10, 2016 at 11:50:46AM +0300, Иван wrote: > > Ситуация исправляется сразу после перезагрузки этого эджа и вновь ломается > > через несколько дней беспрерывной работы. Выключить nginx на 10 минут на > > эдже не помогает. > > Классический симптом выедания оперативки посторонними и нехватки памяти > для nginx. На сервере ничего кроме nginx и строго ограниченной по памяти и количеству процессов пыхи. Свободная память согласно заббиксу меньше 20 гигов (с учетом буффером и кэша) не падает. ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Tue Jul 12 06:39:29 2016 From: nginx-forum на forum.nginx.org (rba) Date: Tue, 12 Jul 2016 02:39:29 -0400 Subject: =?UTF-8?B?UmU6IHVwc3RyZWFtIHJlaW5pdCAoQVBJLCDQodC4KQ==?= In-Reply-To: References: Message-ID: <1129d39c861cfd147a666dd8f5fded17.NginxMailingListRussian@forum.nginx.org> Переписал на повторение access handler, НО... Не могу разобраться, что писать в content_handler для того чтобы в главном цикле начали выполнятся r→upstream→read_event_handler/write_event_handler, при условии что ngx_http_upstream_init был в NGX_HTTP_PREACCESS_PHASE, и соединение с бэкендом уже установлено. Конструкция вида ngx_http_read_client_request_body(r, ngx_http_upstream_init); не пойдет, т. к. инициализиция апстрима и чтения боди/генерации контента находится на разных стадиях. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,267216,268251#msg-268251 From nginx-forum на forum.nginx.org Tue Jul 12 07:18:10 2016 From: nginx-forum на forum.nginx.org (LEOWRS) Date: Tue, 12 Jul 2016 03:18:10 -0400 Subject: =?UTF-8?Q?MD5_=D0=B8_memcached_get_value?= Message-ID: Относительно MD5 вопрос только в части того, почему до сих пор нет встроенной функции, а вместо неё приходится работать через perl, что явно ресурсозатратнее, чем если была бы строенная. Второй вопрос более актуален. Перелопатив всю возможную документацию не смог найти как в nginx получить значение переменной из memcached? Нужно что-то вроде: if (memcachedget('denyip'.$remote_addr)==1) {return 444;} Пока как вариант получается нужно определив скриптом клиента для блокировки запихать его в файл, и через geo вытаскивать nginx-ом, к тому же, если я правильно понимаю, не забыв еще и nginx reload сделать, что как бы в миллион раз затратнее. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268252,268252#msg-268252 From konstantin на symbi.org Wed Jul 13 11:14:56 2016 From: konstantin на symbi.org (Konstantin Baryshnikov) Date: Wed, 13 Jul 2016 14:14:56 +0300 Subject: =?UTF-8?Q?Re=3A_MD5_=D0=B8_memcached_get_value?= In-Reply-To: References: Message-ID: > Второй вопрос более актуален. Перелопатив всю возможную документацию не смог > найти как в nginx получить значение переменной из memcached? > > Нужно что-то вроде: > > if (memcachedget('denyip'.$remote_addr)==1) {return 444;} > > Пока как вариант получается нужно определив скриптом клиента для блокировки > запихать его в файл, и через geo вытаскивать nginx-ом, к тому же, если я > правильно понимаю, не забыв еще и nginx reload сделать, что как бы в миллион > раз затратнее. У вас этот список обновляется каждые несколько секунд? Если пару раз в полчаса или реже - как раз все наоборот, в "миллион" раз затратнее будет вариант с постоянным обращением к мемкешу. > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268252,268252#msg-268252 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum на forum.nginx.org Thu Jul 14 06:25:03 2016 From: nginx-forum на forum.nginx.org (LEOWRS) Date: Thu, 14 Jul 2016 02:25:03 -0400 Subject: =?UTF-8?Q?Re=3A_MD5_=D0=B8_memcached_get_value?= In-Reply-To: References: Message-ID: Константин, в штатном режиме ресурсов более чем достаточно, особенно если nginx держит постоянный коннект. Необходима такая функция когда начинается атака на сервер на уровень application, скрипты её вычисляют весьма оперативно, и в идеальном варианте php записывает в memcached пару denyip$IP=1, а уже nginx бы отбивал. А иначе надо складывать их куда-то и либо по крону закидывать в map, либо вообще писать демона который проверяет изменения файла и закидывает в iptable адреса, но это всё опять же криво, так как в идеале блокировку делать не постоянную, а к примеру на 1 час, этого достаточно чтобы отбиться, но в тоже время влитевший под блок случайный юзер не будет похоронен навсегда. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268252,268279#msg-268279 From alex.hha на gmail.com Thu Jul 14 06:50:53 2016 From: alex.hha на gmail.com (Alex Domoradov) Date: Thu, 14 Jul 2016 09:50:53 +0300 Subject: =?UTF-8?Q?Re=3A_MD5_=D0=B8_memcached_get_value?= In-Reply-To: References: Message-ID: > так как в идеале блокировку делать не постоянную, а к примеру на 1 час, этого достаточно чтобы отбиться, но в тоже время влитевший под блок случайный юзер не будет похоронен навсегда. fail2ban смотрели? 2016-07-14 9:25 GMT+03:00 LEOWRS : > Константин, в штатном режиме ресурсов более чем достаточно, особенно если > nginx держит постоянный коннект. > > Необходима такая функция когда начинается атака на сервер на уровень > application, скрипты её вычисляют весьма оперативно, и в идеальном варианте > php записывает в memcached пару denyip$IP=1, а уже nginx бы отбивал. > > А иначе надо складывать их куда-то и либо по крону закидывать в map, либо > вообще писать демона который проверяет изменения файла и закидывает в > iptable адреса, но это всё опять же криво, так как в идеале блокировку > делать не постоянную, а к примеру на 1 час, этого достаточно чтобы > отбиться, > но в тоже время влитевший под блок случайный юзер не будет похоронен > навсегда. > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,268252,268279#msg-268279 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Thu Jul 14 07:00:19 2016 From: nginx-forum на forum.nginx.org (LEOWRS) Date: Thu, 14 Jul 2016 03:00:19 -0400 Subject: =?UTF-8?Q?Re=3A_MD5_=D0=B8_memcached_get_value?= In-Reply-To: References: Message-ID: <03ee2f114639af3094b3251a10d30bd8.NginxMailingListRussian@forum.nginx.org> Средств различных много, но на форуме nginx вопросы я задал именно по nginx, а в частности по двум, на мой взгляд, достаточно актуальным функциям. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268252,268281#msg-268281 From chipitsine на gmail.com Thu Jul 14 07:02:04 2016 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Thu, 14 Jul 2016 12:02:04 +0500 Subject: =?UTF-8?Q?Re=3A_MD5_=D0=B8_memcached_get_value?= In-Reply-To: References: Message-ID: смотрели в сторону CloudFlare ? там есть несколько уровней защиты, на самом тяжелом - принудительная капча (по рубильнику) ровно то, что вы хотите, но в облаке 14 июля 2016 г., 11:25 пользователь LEOWRS написал: > Константин, в штатном режиме ресурсов более чем достаточно, особенно если > nginx держит постоянный коннект. > > Необходима такая функция когда начинается атака на сервер на уровень > application, скрипты её вычисляют весьма оперативно, и в идеальном варианте > php записывает в memcached пару denyip$IP=1, а уже nginx бы отбивал. > > А иначе надо складывать их куда-то и либо по крону закидывать в map, либо > вообще писать демона который проверяет изменения файла и закидывает в > iptable адреса, но это всё опять же криво, так как в идеале блокировку > делать не постоянную, а к примеру на 1 час, этого достаточно чтобы > отбиться, > но в тоже время влитевший под блок случайный юзер не будет похоронен > навсегда. > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,268252,268279#msg-268279 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From konstantin на symbi.org Thu Jul 14 08:14:21 2016 From: konstantin на symbi.org (Konstantin Baryshnikov) Date: Thu, 14 Jul 2016 11:14:21 +0300 Subject: =?UTF-8?Q?Re=3A_MD5_=D0=B8_memcached_get_value?= In-Reply-To: References: Message-ID: > On Jul 14, 2016, at 9:25 AM, LEOWRS wrote: > > Константин, в штатном режиме ресурсов более чем достаточно, особенно если > nginx держит постоянный коннект. > > Необходима такая функция когда начинается атака на сервер на уровень > application, скрипты её вычисляют весьма оперативно, и в идеальном варианте > php записывает в memcached пару denyip$IP=1, а уже nginx бы отбивал. > > А иначе надо складывать их куда-то и либо по крону закидывать в map, либо > вообще писать демона который проверяет изменения файла и закидывает в > iptable адреса, но это всё опять же криво, так как в идеале блокировку > делать не постоянную, а к примеру на 1 час, этого достаточно чтобы отбиться, > но в тоже время влитевший под блок случайный юзер не будет похоронен > навсегда. По крону в любом случае нужна перегенерация - заодно и выкидывать. Не вижу особого смысла это все делать на уровне nginx, всякие fail2ban для таких задач существуют. Впрочем, в порядке извращения, можно попробовать использовать http_auth_request_module с auth_request на внутренний location, читающий из мемкеша, дополненный строчкой наподобие error_page 404 =403. From nginx-forum на forum.nginx.org Thu Jul 14 09:19:47 2016 From: nginx-forum на forum.nginx.org (rba) Date: Thu, 14 Jul 2016 05:19:47 -0400 Subject: =?UTF-8?B?UmU6IHVwc3RyZWFtIHJlaW5pdCAoQVBJLCDQodC4KQ==?= In-Reply-To: <1129d39c861cfd147a666dd8f5fded17.NginxMailingListRussian@forum.nginx.org> References: <1129d39c861cfd147a666dd8f5fded17.NginxMailingListRussian@forum.nginx.org> Message-ID: <69c5b671916e850d90579076ad4d0d3c.NginxMailingListRussian@forum.nginx.org> К тому же вываливается в core dump на http://lxr.nginx.org/source/src/event/modules/ngx_epoll_module.c#0929 из-за пустого wev->handler(wev) внтури апстремовского pc->connection->write->handler Вопрос что идет в web->data в http://lxr.nginx.org/source/src/event/modules/ngx_epoll_module.c#0929 ??? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,267216,268284#msg-268284 From motienko на gmail.com Thu Jul 14 12:10:06 2016 From: motienko на gmail.com (Oleg Motienko) Date: Thu, 14 Jul 2016 15:10:06 +0300 Subject: =?UTF-8?Q?nginx_=D0=B8_unixsocket?= Message-ID: Привет. Есть несколько nginx/1.6.2 на linux, почему-то открывается много unixsocket, набежало где-то 40 тыс за 4 дня с последнего перезапуска на каждый воркер. Подскажите. куда копать? В lsof выглядит примерно так ... nginx 31547 www-data *114u unix 0xffff880c83c20e00 0t0 3323753424 socket nginx 31547 www-data *115u unix 0xffff880c83c26580 0t0 3323753425 socket nginx 31547 www-data *116u unix 0xffff880c89e26580 0t0 3323891329 socket nginx 31547 www-data *117u unix 0xffff880c89e24980 0t0 3323891330 socket nginx 31547 www-data *118u unix 0xffff880c89e21c00 0t0 3323891331 socket ... Информация по одному из сокетов # grep -a ffff880c83c26580 /proc/net/unix ffff880c83c26580: 00000003 00000000 00000000 0001 03 3323753425 From vbart на nginx.com Thu Jul 14 12:59:16 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Thu, 14 Jul 2016 15:59:16 +0300 Subject: =?UTF-8?Q?Re=3A_nginx_=D0=B8_unixsocket?= In-Reply-To: References: Message-ID: <3288579.rAFLXIxRBP@vbart-workstation> On Thursday 14 July 2016 15:10:06 Oleg Motienko wrote: > Привет. > > Есть несколько nginx/1.6.2 на linux, почему-то открывается много > unixsocket, набежало где-то 40 тыс за 4 дня с последнего перезапуска > на каждый воркер. > > Подскажите. куда копать? [..] Попробовать без сторонних модулей и с актуальной версией nginx. -- Валентин Бартенев From motienko на gmail.com Fri Jul 15 06:57:24 2016 From: motienko на gmail.com (Oleg Motienko) Date: Fri, 15 Jul 2016 09:57:24 +0300 Subject: =?UTF-8?Q?Re=3A_nginx_=D0=B8_unixsocket?= In-Reply-To: <3288579.rAFLXIxRBP@vbart-workstation> References: <3288579.rAFLXIxRBP@vbart-workstation> Message-ID: Спасибо, обновление до 1.10 вроде бы помогло. 2016-07-14 15:59 GMT+03:00 Валентин Бартенев : > On Thursday 14 July 2016 15:10:06 Oleg Motienko wrote: >> Привет. >> >> Есть несколько nginx/1.6.2 на linux, почему-то открывается много >> unixsocket, набежало где-то 40 тыс за 4 дня с последнего перезапуска >> на каждый воркер. >> >> Подскажите. куда копать? > [..] > > Попробовать без сторонних модулей и с актуальной версией nginx. > From nginx-forum на forum.nginx.org Fri Jul 15 08:09:46 2016 From: nginx-forum на forum.nginx.org (rba) Date: Fri, 15 Jul 2016 04:09:46 -0400 Subject: =?UTF-8?B?UmU6IHVwc3RyZWFtIHJlaW5pdCAoQVBJLCDQodC4KQ==?= In-Reply-To: <69c5b671916e850d90579076ad4d0d3c.NginxMailingListRussian@forum.nginx.org> References: <1129d39c861cfd147a666dd8f5fded17.NginxMailingListRussian@forum.nginx.org> <69c5b671916e850d90579076ad4d0d3c.NginxMailingListRussian@forum.nginx.org> Message-ID: Вообщем зарядил внутри upstream_get_peer следующие конструкции чтоб по нулевым адресам ерроры не выкидывало pc->connection->write->data=r; pc->connection->write->handler = функцию_пустую_заглушку и тем самым получил wev->handler(wev) вызывается как функция_пустая_заглушка(ev){где r = ev->data} для rev тоже самое только pc->connection->read После upstream начинает работать с read_event_handler/write_event_handler Подозреваю что это не правельно, но правельного ответа пока не нашел и никто не написал. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,267216,268296#msg-268296 From jd на jdwuzhere.ru Fri Jul 15 09:40:40 2016 From: jd на jdwuzhere.ru (Vladimir Sopot) Date: Fri, 15 Jul 2016 12:40:40 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNCw0L3QvdC+0LUg0YEgc2V0X3JlYWxfaXBfZnJvbSA=?= In-Reply-To: <308EFB0B-AF0A-4187-9948-DEED6C2987CD@jdwuzhere.ru> References: <5c1c0712-a528-c5af-dc25-fab4141e5d3b@nginx.com> <49779E38-7443-4437-864F-9F57D906EFF0@jdwuzhere.ru> <7D13FA38-7874-4CF4-9E2C-F09A6E645D92@jdwuzhere.ru> <308EFB0B-AF0A-4187-9948-DEED6C2987CD@jdwuzhere.ru> Message-ID: Если кому-то еще интересно, котенку не хватало set_real_ip_from 107.167.96.0/19; Все остальные opera-mini сети были описаны и real_ip_recursive для них помогал. > On 05 Jul 2016, at 15:12, Vladimir Sopot wrote: > > Из того, что удалось поймать - нет, не помогло. > Приезжает “x-forwarded-for” (именно в таком регистре). > > >> On 05 Jul 2016, at 14:54, Fedor Dikarev wrote: >> >> И можно поделиться с общественностью: >> а) помогло ли включение real_ip_recursive? >> б) что приезжало в заголовке X-Forwarded-For? >> >> On 04/07/16 15:28, Vladimir Sopot wrote: >>> Внезапно, подозреваю отсутствие в конфиге real_ip_recursive on; >>> Сегодня буду тестировать. >>> >>>> On 02 Jul 2016, at 19:24, Vladimir Sopot wrote: >>>> >>>> Да, конечно, есть и real_ip_header X-Forwarded-For; >>>> В конфиге есть ещё куча других сетей оперы и с ними, кажется, нет проблем. >>>> >>>>> On 02 Jul 2016, at 13:39, Fedor Dikarev wrote: >>>>> >>>>> Opera использует заголовок X-Forwarded-For для передачи адреса клиента, >>>>> а не X-Real-IP как nginx ожидает по-умолчанию. Добавьте: >>>>>> real_ip_header X-Forwarded-For; >>>>> >>>>>> http://nginx.org/ru/docs/http/ngx_http_realip_module.html#real_ip_header >>>>> >>>>> >>>>> 02.07.16 12:45, Vladimir Sopot пишет: >>>>>> Привет! >>>>>> >>>>>> В nginx.conf есть >>>>>> >>>>>> set_real_ip_from 185.26.180.0/22; >>>>>> fastcgi_param REMOTE_ADDR $remote_addr; >>>>>> >>>>>> Но при этом до php-fpm доходит >>>>>> >>>>>> $_SERVER["REMOTE_ADDR”]=185.26.182.31 >>>>>> >>>>>> nginx version: nginx/1.10.1 >>>>>> built by gcc 4.4.7 20120313 (Red Hat 4.4.7-17) (GCC) >>>>>> built with OpenSSL 1.0.1e-fips 11 Feb 2013 >>>>>> TLS SNI support enabled >>>>>> configure arguments: --without-http_uwsgi_module --without-http_scgi_module --with-http_ssl_module --with-http_stub_status_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_geoip_module --add-module=../ngx_cache_purge-2.3/ --with-file-aio --with-http_image_filter_module --with-http_realip_module >>>>>> >>>>>> Чего не хватает котенку? >>>>>> >>>>>> _______________________________________________ >>>>>> nginx-ru mailing list >>>>>> nginx-ru на nginx.org >>>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>>>>> >>>>> >>>>> -- >>>>> Fedor Dikarev >>>>> >>>>> _______________________________________________ >>>>> nginx-ru mailing list >>>>> nginx-ru на nginx.org >>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>>> >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >> >> -- >> Fedor Dikarev >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > From vovansystems на gmail.com Fri Jul 15 17:32:04 2016 From: vovansystems на gmail.com (VovansystemS) Date: Fri, 15 Jul 2016 20:32:04 +0300 Subject: =?UTF-8?B?bmF4c2kg0LrQsNC6IGR5bmFtaWMgbW9kdWxl?= Message-ID: Добрый вечер, у меня есть некоторое количество серверов небогатых клиентов, которые хотели бы хоть какой-то WAF, но приобрести на его как сервис позволить себе не могут. naxsi, на мой взгляд, вполне может справится с задачей, но раньше я его не использовал, т.к. не хотел собирать nginx из исходников (или разворачивать инфраструктуру по сборке и доставке пакетов под разные версии Debian/Ubuntu - нет опыта), а пользуюсь официальным репозиторием. начиная с версии 1.9.11 в nginx появились динамические модули и naxsi версии >0.54 можно собрать как динамический модуль. я скачал naxsi-0.55rc2 и nginx-1.11.2, сделал ./configure --add-dynamic-module=/root/nginx/naxsi-0.55rc2/naxsi_src make modules и забрал получившийся файл objs/ngx_http_naxsi_module.so на другой сервер с установленным nginx/1.11.1. добавил директиву load_module "modules/ngx_http_naxsi_module.so"; в /etc/nginx/nginx.conf и получил nginx -t nginx: [emerg] module "/etc/nginx/modules/ngx_http_naxsi_module.so" version 1011002 instead of 1011001 in /etc/nginx/nginx.conf:17 nginx: configuration file /etc/nginx/nginx.conf test failed получается, что этот скомпилированный модуль будет работать только при полном совпадении версий nginx, и если я сейчас соберу его для версии 1.11.1, то при следующем апдейте из официального репозитория до 1.11.2 у меня опять будет похожая ошибка.. я нашёл такую строчку на офсайте: > In future releases, we plan to add the ability to compile modules after the NGINX binary has been compiled. https://www.nginx.com/blog/dynamic-modules-nginx-1-9-11/ значит ли это, что через некоторое время можно будет ожидать возможности один раз скомпилировать динамический модуль и раскинуть его на сервера, где установлен nginx из официального репозитория и каждый апдейт nginx не будет приводить к ошибке загрузки этого модуля? т.е. возможно ли (или будет ли возможно в ближайшее время) использовать naxsi как динамический модуль для nginx из официального репозитория не пересобирая naxsi для каждой новой версии nginx? какие ещё варианты без того чтобы комплилировать nginx самому, создавать пакет и распространять его через свои репозитории существуют? From medvedev.yp на gmail.com Fri Jul 15 17:46:29 2016 From: medvedev.yp на gmail.com (Yuriy Medvedev) Date: Fri, 15 Jul 2016 20:46:29 +0300 Subject: =?UTF-8?B?UmU6IG5heHNpINC60LDQuiBkeW5hbWljIG1vZHVsZQ==?= In-Reply-To: References: Message-ID: Да модуль версия зависим 15 июля 2016 г. 20:32 пользователь "VovansystemS" написал: > Добрый вечер, > > у меня есть некоторое количество серверов небогатых клиентов, которые > хотели бы хоть какой-то WAF, но приобрести на его как сервис позволить > себе не могут. naxsi, на мой взгляд, вполне может справится с задачей, > но раньше я его не использовал, т.к. не хотел собирать nginx из > исходников (или разворачивать инфраструктуру по сборке и доставке > пакетов под разные версии Debian/Ubuntu - нет опыта), а пользуюсь > официальным репозиторием. > > начиная с версии 1.9.11 в nginx появились динамические модули и naxsi > версии >0.54 можно собрать как динамический модуль. > > я скачал naxsi-0.55rc2 и nginx-1.11.2, сделал > ./configure --add-dynamic-module=/root/nginx/naxsi-0.55rc2/naxsi_src > make modules > и забрал получившийся файл objs/ngx_http_naxsi_module.so на другой > сервер с установленным nginx/1.11.1. добавил директиву load_module > "modules/ngx_http_naxsi_module.so"; в /etc/nginx/nginx.conf и получил > > nginx -t > nginx: [emerg] module "/etc/nginx/modules/ngx_http_naxsi_module.so" > version 1011002 instead of 1011001 in /etc/nginx/nginx.conf:17 > nginx: configuration file /etc/nginx/nginx.conf test failed > > получается, что этот скомпилированный модуль будет работать только при > полном совпадении версий nginx, и если я сейчас соберу его для версии > 1.11.1, то при следующем апдейте из официального репозитория до 1.11.2 > у меня опять будет похожая ошибка.. > > я нашёл такую строчку на офсайте: > > > In future releases, we plan to add the ability to compile modules after > the NGINX binary has been compiled. > https://www.nginx.com/blog/dynamic-modules-nginx-1-9-11/ > > значит ли это, что через некоторое время можно будет ожидать > возможности один раз скомпилировать динамический модуль и раскинуть > его на сервера, где установлен nginx из официального репозитория и > каждый апдейт nginx не будет приводить к ошибке загрузки этого модуля? > > т.е. возможно ли (или будет ли возможно в ближайшее время) > использовать naxsi как динамический модуль для nginx из официального > репозитория не пересобирая naxsi для каждой новой версии nginx? > > какие ещё варианты без того чтобы комплилировать nginx самому, > создавать пакет и распространять его через свои репозитории > существуют? > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Sun Jul 17 21:14:01 2016 From: nginx-forum на forum.nginx.org (Dimka) Date: Sun, 17 Jul 2016 17:14:01 -0400 Subject: NGiNX cache files permissions Message-ID: Доброго времени всем! Требуется поставить на кеш-файлы NGiNX права -rw-r----- (чтобы права группы содержали чтение) Пробовал proxy_store_access group:rw all:r; Не помогает. Конфиг proxy_pass http://192.168.220.1:8080; proxy_store_access group:rw all:r; proxy_cache_key "ssjs-$hash3"; proxy_cache_valid 4M; proxy_cache ssjs; Есть ли способ настроить NGiNX таким образом чтобы создавал кеш-файлы с правами +r для группы? Очень надо. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268318,268318#msg-268318 From basil на vpm.net.ua Mon Jul 18 05:35:05 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Mon, 18 Jul 2016 08:35:05 +0300 Subject: NGiNX cache files permissions In-Reply-To: References: Message-ID: proxy_store_access group:r all:r; ? 18 июля 2016 г., 0:14 пользователь Dimka написал: > Доброго времени всем! > > Требуется поставить на кеш-файлы NGiNX права -rw-r----- (чтобы права группы > содержали чтение) > > Пробовал > > proxy_store_access group:rw all:r; > > Не помогает. > > Конфиг > > proxy_pass http://192.168.220.1:8080; > proxy_store_access group:rw all:r; > proxy_cache_key "ssjs-$hash3"; > proxy_cache_valid 4M; > proxy_cache ssjs; > > > Есть ли способ настроить NGiNX таким образом чтобы создавал кеш-файлы с > правами +r для группы? > > Очень надо. > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,268318,268318#msg-268318 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From vlad.shabanov на gmail.com Mon Jul 18 08:05:12 2016 From: vlad.shabanov на gmail.com (Vladislav Shabanov) Date: Mon, 18 Jul 2016 11:05:12 +0300 Subject: =?UTF-8?B?W29mZnRvcGljXSDQutC70LjQtdC90YLRgdC60LjQtSBTU0wt0YHQtdGA0YLQuNGE?= =?UTF-8?B?0LjQutCw0YLRiw==?= Message-ID: Добрый день. Возник вопрос, ответа на который простым поиском найти не удалось. Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что принимает сертификаты, выданные организацией ZZZ. Если это сотрудник, то он сможет передать сертификат, сайт сможет его проверить, принять решение и т. д. Если нет, то будет выдана какая-то страница «в доступе отказано». Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт DEF так, чтобы во время SSL handshake тот тоже сообщал всем браузерам, что принимает сертификаты организации с названием ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет тупо выдавать единственный установленный сертификат, у которого имя организации совпало? С уважением, Влад From nginx-forum на forum.nginx.org Mon Jul 18 08:25:28 2016 From: nginx-forum на forum.nginx.org (Vasiliy P. Melnik) Date: Mon, 18 Jul 2016 04:25:28 -0400 Subject: =?UTF-8?B?0LLRgNC10LzRjyDQvtGC0LLQtdGC0LA=?= Message-ID: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> На фронтэнде стоит нгинкс, кеш отключен - чисто проброс на бэкэнд. гугль на https://developers.google.com/speed/pagespeed пишет: По результатам тестирования время ответа вашего сервера составило 0,52 секунды. Ну и дальше Пробросил порт через iptables сразу на бекэнд - получается что-то типа 0,20-0,22 , нгинкс добавляет 0,20-0,30 к времени ответа. Я понимаю что он должен что-то добавить, но на бекэнде за это время генерируется страница, а тут всего лишь проброс - и в полтора раза больше. Система дебиан, версии нгинкса пробовал разные: из системы, стабильный в сайта и мэинлайн, пробовал буферы поднимать - быстрее всего работает с дефолтными настройками нгинкса, проброс порта организован на фронтеэнде Дайте какой-то совет как снизить время начала ответа сервера P.S. это тестовая среда - нагрузки нет Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268323,268323#msg-268323 From chipitsine на gmail.com Mon Jul 18 08:43:24 2016 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Mon, 18 Jul 2016 13:43:24 +0500 Subject: =?UTF-8?B?UmU6IFtvZmZ0b3BpY10g0LrQu9C40LXQvdGC0YHQutC40LUgU1NMLdGB0LXRgNGC?= =?UTF-8?B?0LjRhNC40LrQsNGC0Ys=?= In-Reply-To: References: Message-ID: это зависит от браузера. в случае, если сайт требует серт, а в браузере подходящего серта нет, то сафари все равно предложит выбрать, остальные браузеры пойдут без серта 18 июля 2016 г., 13:05 пользователь Vladislav Shabanov < vlad.shabanov на gmail.com> написал: > Добрый день. > > Возник вопрос, ответа на который простым поиском найти не удалось. > > Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты для > сотрудников. Такой сайт любому зашедшему браузеру сообщает, что принимает > сертификаты, выданные организацией ZZZ. Если это сотрудник, то он сможет > передать сертификат, сайт сможет его проверить, принять решение и т. д. > Если нет, то будет выдана какая-то страница «в доступе отказано». > > Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт DEF > так, чтобы во время SSL handshake тот тоже сообщал всем браузерам, что > принимает сертификаты организации с названием ZZZ. Правильно ли я понимаю, > что сотрудники компании ZZZ после этого уже никогда не смогут посещать сайт > DEF анонимно? Браузер ведь будет тупо выдавать единственный установленный > сертификат, у которого имя организации совпало? > > С уважением, > Влад > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Mon Jul 18 08:43:36 2016 From: nginx-forum на forum.nginx.org (vitcool) Date: Mon, 18 Jul 2016 04:43:36 -0400 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> References: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> Message-ID: я бы не стал так сильно доверять PageSpeed Insights лучше поднять на отдельном сервере свой нагрузчик, прогнать хотя бы 1000...2000 реквестов по разным урлам и посмотреть средние значения. будет более правильная картинка. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268323,268324#msg-268324 From nginx-forum на forum.nginx.org Mon Jul 18 08:46:44 2016 From: nginx-forum на forum.nginx.org (Vasiliy P. Melnik) Date: Mon, 18 Jul 2016 04:46:44 -0400 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: References: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> Message-ID: <85ca8046cf02d36610a89a5c2c6636bb.NginxMailingListRussian@forum.nginx.org> Это понятно что надо нагрузочное тестирование, но одна из задач - пройти гугль-тест, от этого зависит рейтинг портала Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268323,268326#msg-268326 From bgx на protva.ru Mon Jul 18 09:03:07 2016 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Mon, 18 Jul 2016 12:03:07 +0300 Subject: =?UTF-8?B?UmU6IFtvZmZ0b3BpY10g0LrQu9C40LXQvdGC0YHQutC40LUgU1NMLdGB0LXRgNGC?= =?UTF-8?B?0LjRhNC40LrQsNGC0Ys=?= In-Reply-To: References: Message-ID: <20160718090306.GA11128@protva.ru> On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote: > Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты > для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что > принимает сертификаты, выданные организацией ZZZ. Если это > сотрудник, то он сможет передать сертификат, сайт сможет его > проверить, принять решение и т. д. Если нет, то будет выдана > какая-то страница ??в доступе отказано??. Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту какого-то флага (бита), там нет места для указания развесистых условий вроде "в DN сертификата поле OU должно быть непустым и совпадать со сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для организации ZZZ" сервер не имеет технической возможности. > Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт > DEF так, чтобы во время SSL handshake тот тоже сообщал всем > браузерам, что принимает сертификаты организации с названием > ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого > уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет > тупо выдавать единственный установленный сертификат, у которого имя > организации совпало? Соответственно, сайт может лишь попросить сертификат. А что ему вернут зависит от того, как ведёт себя браузер. У браузера есть много вариантов для выбора, прежде всего спросить юзера, хочет ли он передавать клиентский сертификат. -- Eugene Berdnikov From bgx на protva.ru Mon Jul 18 09:11:12 2016 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Mon, 18 Jul 2016 12:11:12 +0300 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> References: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160718091112.GB11128@protva.ru> On Mon, Jul 18, 2016 at 04:25:28AM -0400, Vasiliy P. Melnik wrote: > Пробросил порт через iptables сразу на бекэнд - получается что-то типа > 0,20-0,22 , нгинкс добавляет 0,20-0,30 к времени ответа. Традиционно, strace + tcpdump в зубы и искать узкое место. Величина 200 мс подозрительно похожа на нагелевскую константу. Проверьте, включен ли TCP_NODELAY для конекций к бэкенду и на самом бэкенде. -- Eugene Berdnikov From basil на vpm.net.ua Mon Jul 18 09:16:33 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Mon, 18 Jul 2016 12:16:33 +0300 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: <20160718091112.GB11128@protva.ru> References: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> <20160718091112.GB11128@protva.ru> Message-ID: 18 июля 2016 г., 12:11 пользователь Evgeniy Berdnikov написал: > On Mon, Jul 18, 2016 at 04:25:28AM -0400, Vasiliy P. Melnik wrote: > > Пробросил порт через iptables сразу на бекэнд - получается что-то типа > > 0,20-0,22 , нгинкс добавляет 0,20-0,30 к времени ответа. > > Традиционно, strace + tcpdump в зубы и искать узкое место. > Величина 200 мс подозрительно похожа на нагелевскую константу. > Проверьте, включен ли TCP_NODELAY для конекций к бэкенду и > на самом бэкенде. > tcp_nodelay и tcp_nopush включал - эффекта никакого. Может это быть из-за айпитеблсов? Из-за какогонибудь коннтрека или еще чего ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From bgx на protva.ru Mon Jul 18 09:25:01 2016 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Mon, 18 Jul 2016 12:25:01 +0300 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: References: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> <20160718091112.GB11128@protva.ru> Message-ID: <20160718092501.GC11128@protva.ru> On Mon, Jul 18, 2016 at 12:16:33PM +0300, Vasiliy P. Melnik wrote: > 18 июля 2016 г., 12:11 пользователь Evgeniy Berdnikov > написал: > > > On Mon, Jul 18, 2016 at 04:25:28AM -0400, Vasiliy P. Melnik wrote: > > > Пробросил порт через iptables сразу на бекэнд - получается что-то типа > > > 0,20-0,22 , нгинкс добавляет 0,20-0,30 к времени ответа. > > > > Традиционно, strace + tcpdump в зубы и искать узкое место. > > Величина 200 мс подозрительно похожа на нагелевскую константу. > > Проверьте, включен ли TCP_NODELAY для конекций к бэкенду и > > на самом бэкенде. > > > > tcp_nodelay и tcp_nopush включал - эффекта никакого. Может это быть из-за > айпитеблсов? Из-за какогонибудь коннтрека или еще чего На современных процессорах iptables+conntrack это микросекунды. Задержка по тайм слайсу для задачи может быть 1-4 миллисекунды, но это если все ядра процессора заняты другими задачами. -- Eugene Berdnikov From nginx-forum на forum.nginx.org Mon Jul 18 09:59:43 2016 From: nginx-forum на forum.nginx.org (Dimka) Date: Mon, 18 Jul 2016 05:59:43 -0400 Subject: NGiNX cache files permissions In-Reply-To: References: Message-ID: <1d4c0cbf5d38735159f7a0dd522e183e.NginxMailingListRussian@forum.nginx.org> proxy_store_access group:r all:r; Тоже не помогает, я и так и так пробовал, совершенно никаких изменений в правах доступа. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268318,268331#msg-268331 From vbart на nginx.com Mon Jul 18 10:02:18 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Mon, 18 Jul 2016 13:02:18 +0300 Subject: NGiNX cache files permissions In-Reply-To: References: Message-ID: <4439057.UcMCQ8Eiah@vbart-laptop> On Monday 18 July 2016 08:35:05 Vasiliy P. Melnik wrote: > proxy_store_access group:r all:r; ? > [..] Эта директива не имеет никакого отношения к proxy_cache, а регулирует права на файлы, создаваемые с помощью proxy_store. -- Валентин Бартенев From nginx-ru на sadok.spb.ru Mon Jul 18 10:02:54 2016 From: nginx-ru на sadok.spb.ru (Dmitry Ivanov) Date: Mon, 18 Jul 2016 13:02:54 +0300 Subject: =?UTF-8?B?UmU6IFtvZmZ0b3BpY10g0LrQu9C40LXQvdGC0YHQutC40LUgU1NMLdGB0LXRgNGC?= =?UTF-8?B?0LjRhNC40LrQsNGC0Ys=?= In-Reply-To: <20160718090306.GA11128@protva.ru> References: <20160718090306.GA11128@protva.ru> Message-ID: <1338955742.20160718130254@sadok.spb.ru> Здравствуйте, Evgeniy. Вы писали 18 июля 2016 г., 12:03:07: > Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту > какого-то флага (бита), там нет места для указания развесистых условий > вроде "в DN сертификата поле OU должно быть непустым и совпадать со > сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для > организации ZZZ" сервер не имеет технической возможности. Если не трогать nginx, то какой-нить NetScaler сделает это легко. Оффтопик, понятно... -- С уважением, Dmitry nginx-ru на sadok.spb.ru From chipitsine на gmail.com Mon Jul 18 10:35:30 2016 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Mon, 18 Jul 2016 15:35:30 +0500 Subject: =?UTF-8?B?UmU6IFtvZmZ0b3BpY10g0LrQu9C40LXQvdGC0YHQutC40LUgU1NMLdGB0LXRgNGC?= =?UTF-8?B?0LjRhNC40LrQsNGC0Ys=?= In-Reply-To: <20160718090306.GA11128@protva.ru> References: <20160718090306.GA11128@protva.ru> Message-ID: 18 июля 2016 г., 14:03 пользователь Evgeniy Berdnikov написал: > On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote: > > Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты > > для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что > > принимает сертификаты, выданные организацией ZZZ. Если это > > сотрудник, то он сможет передать сертификат, сайт сможет его > > проверить, принять решение и т. д. Если нет, то будет выдана > > какая-то страница ??в доступе отказано??. > > Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту > какого-то флага (бита), там нет места для указания развесистых условий > вроде "в DN сертификата поле OU должно быть непустым и совпадать со > сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для > организации ZZZ" сервер не имеет технической возможности. > > > Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт > > DEF так, чтобы во время SSL handshake тот тоже сообщал всем > > браузерам, что принимает сертификаты организации с названием > > ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого > > уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет > > тупо выдавать единственный установленный сертификат, у которого имя > > организации совпало? > > Соответственно, сайт может лишь попросить сертификат. А что ему вернут > зависит от того, как ведёт себя браузер. У браузера есть много вариантов > для выбора, прежде всего спросить юзера, хочет ли он передавать > клиентский сертификат. > Параметр optional_no_ca (1.3.8, 1.2.5) запрашивает сертификат клиента, но не требует, чтобы он был подписан доверенным сертификатом CA. Это предназначено для случаев, когда фактическая проверка сертификата осуществляется внешним по отношению к nginx’у сервисом. Содержимое сертификата доступно через переменную $ssl_client_cert. > -- > Eugene Berdnikov > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mdounin на mdounin.ru Mon Jul 18 11:14:08 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Mon, 18 Jul 2016 14:14:08 +0300 Subject: NGiNX cache files permissions In-Reply-To: References: Message-ID: <20160718111408.GX57459@mdounin.ru> Hello! On Sun, Jul 17, 2016 at 05:14:01PM -0400, Dimka wrote: > Доброго времени всем! > > Требуется поставить на кеш-файлы NGiNX права -rw-r----- (чтобы права группы > содержали чтение) > > Пробовал > > proxy_store_access group:rw all:r; > > Не помогает. > > Конфиг > > proxy_pass http://192.168.220.1:8080; > proxy_store_access group:rw all:r; > proxy_cache_key "ssjs-$hash3"; > proxy_cache_valid 4M; > proxy_cache ssjs; > > > Есть ли способ настроить NGiNX таким образом чтобы создавал кеш-файлы с > правами +r для группы? > > Очень надо. Если очень надо - то править код, в src/htt/ngx_http_file_cache.c, функция ngx_http_file_cache_update(). -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Mon Jul 18 12:17:39 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Mon, 18 Jul 2016 15:17:39 +0300 Subject: =?UTF-8?B?UmU6IFtvZmZ0b3BpY10g0LrQu9C40LXQvdGC0YHQutC40LUgU1NMLdGB0LXRgNGC?= =?UTF-8?B?0LjRhNC40LrQsNGC0Ys=?= In-Reply-To: <20160718090306.GA11128@protva.ru> References: <20160718090306.GA11128@protva.ru> Message-ID: <20160718121739.GZ57459@mdounin.ru> Hello! On Mon, Jul 18, 2016 at 12:03:07PM +0300, Evgeniy Berdnikov wrote: > On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote: > > Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты > > для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что > > принимает сертификаты, выданные организацией ZZZ. Если это > > сотрудник, то он сможет передать сертификат, сайт сможет его > > проверить, принять решение и т. д. Если нет, то будет выдана > > какая-то страница ??в доступе отказано??. > > Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту > какого-то флага (бита), там нет места для указания развесистых условий > вроде "в DN сертификата поле OU должно быть непустым и совпадать со > сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для > организации ZZZ" сервер не имеет технической возможности. Вам кажется. Запрос сертификата предусматривает список DN'ов корневых сертификатов, которым доверяет запрашивающий сертификат сервер. Цитата из спецификации TLS 1.2, https://tools.ietf.org/html/rfc5246#section-7.4.4: certificate_authorities A list of the distinguished names [X501] of acceptable certificate_authorities, represented in DER-encoded format. These distinguished names may specify a desired distinguished name for a root CA or for a subordinate CA; thus, this message can be used to describe known roots as well as a desired authorization space. If the certificate_authorities list is empty, then the client MAY send any certificate of the appropriate ClientCertificateType, unless there is some external arrangement to the contrary. Собственно, директивы ssl_client_certificate и ssl_trusted_certificate отличаются именно тем, будет ли сертификат включён в список certificate_authorities, отсылаемых клиенту, или нет. > > Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт > > DEF так, чтобы во время SSL handshake тот тоже сообщал всем > > браузерам, что принимает сертификаты организации с названием > > ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого > > уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет > > тупо выдавать единственный установленный сертификат, у которого имя > > организации совпало? > > Соответственно, сайт может лишь попросить сертификат. А что ему вернут > зависит от того, как ведёт себя браузер. У браузера есть много вариантов > для выбора, прежде всего спросить юзера, хочет ли он передавать > клиентский сертификат. Всё так. Но стоит учитывать, что список authorities легко делает выбор браузера однозначным даже в случае наличия у браузера нескольких клиентских сертификатов. Пошлёт ли браузер единственный подходящий сертификат автоматически - зависит только от него. Из имеющихся у меня под рукой бразеров (Chrome, Safari, Firefox) - ни один не посылает. Но скажем тот же Firefox - оборудован опцией "посылать автоматически", которую можно включить. Так что стоит учитывать возможность небезопасного поведения браузера и следить за тем, чем пользуешься. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Mon Jul 18 18:37:50 2016 From: nginx-forum на forum.nginx.org (S.A.N) Date: Mon, 18 Jul 2016 14:37:50 -0400 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: References: Message-ID: <1f40ef4bb1fb834c8821d5200262df90.NginxMailingListRussian@forum.nginx.org> > tcp_nodelay и tcp_nopush включал - эффекта никакого. Может это быть > из-за > айпитеблсов? Из-за какогонибудь коннтрека или еще чего Если есть возможность, попробуйте перейти на локальные UNIX сокеты. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268323,268343#msg-268343 From basil на vpm.net.ua Tue Jul 19 05:10:49 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Tue, 19 Jul 2016 08:10:49 +0300 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: <1f40ef4bb1fb834c8821d5200262df90.NginxMailingListRussian@forum.nginx.org> References: <1f40ef4bb1fb834c8821d5200262df90.NginxMailingListRussian@forum.nginx.org> Message-ID: 18 июля 2016 г., 21:37 пользователь S.A.N написал: > > tcp_nodelay и tcp_nopush включал - эффекта никакого. Может это быть > > из-за > > айпитеблсов? Из-за какогонибудь коннтрека или еще чего > > Если есть возможность, попробуйте перейти на локальные UNIX сокеты. > а как, если это разные машины ? ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From vbart на nginx.com Tue Jul 19 08:59:01 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Tue, 19 Jul 2016 11:59:01 +0300 Subject: =?UTF-8?B?UmU6INCy0YDQtdC80Y8g0L7RgtCy0LXRgtCw?= In-Reply-To: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> References: <6dd0f0a32918596003d0f2613ac9cd1a.NginxMailingListRussian@forum.nginx.org> Message-ID: <2951122.oFOXeMO01W@vbart-laptop> On Monday 18 July 2016 04:25:28 Vasiliy P. Melnik wrote: > На фронтэнде стоит нгинкс, кеш отключен - чисто проброс на бэкэнд. > > гугль на https://developers.google.com/speed/pagespeed пишет: > По результатам тестирования время ответа вашего сервера составило 0,52 > секунды. Ну и дальше > > Пробросил порт через iptables сразу на бекэнд - получается что-то типа > 0,20-0,22 , нгинкс добавляет 0,20-0,30 к времени ответа. Я понимаю что он > должен что-то добавить, но на бекэнде за это время генерируется страница, а > тут всего лишь проброс - и в полтора раза больше. > > Система дебиан, версии нгинкса пробовал разные: из системы, стабильный в > сайта и мэинлайн, пробовал буферы поднимать - быстрее всего работает с > дефолтными настройками нгинкса, проброс порта организован на фронтеэнде > > Дайте какой-то совет как снизить время начала ответа сервера > > P.S. это тестовая среда - нагрузки нет > [..] Включение keep-alive на бекенды должно улучшить картину. -- Валентин Бартенев From nginx-forum на forum.nginx.org Tue Jul 19 12:11:55 2016 From: nginx-forum на forum.nginx.org (S.A.N) Date: Tue, 19 Jul 2016 08:11:55 -0400 Subject: client_body_in_file_only Message-ID: <5c05544bd74fc4e8483dcbb8d9ce6ef9.NginxMailingListRussian@forum.nginx.org> client_body_in_file_only - работает отлично :) Но нам нужно провести аутентификацию юзера перед тем как Nginx прочитает все тело клиентского запроса и сохранит его в файл. Я знаю про ngx_http_auth_request_module, но это отдельный запрос на бекенд, хотелось бы сделать проще. Вот как - Nginx отправляет на бекенд все клиентские заголовки, если бекенд ответил 100 Continue, тогда Nginx продолжает читать все тело клиентского запроса, сохраняет его в файл и отправляет на бекенд остававшийся HTTP заголовки (proxy_set_header x-body-file $request_body_file;). Такое сделать можно? Спасибо. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268350,268350#msg-268350 From nginx.org на dubrovskiy.net Wed Jul 20 08:32:11 2016 From: nginx.org на dubrovskiy.net (Ivan) Date: Wed, 20 Jul 2016 11:32:11 +0300 Subject: =?UTF-8?B?0JrQsNC6INGB0L7QutGA0LDRgtC40YLRjCDRgdC/0LjRgdC+0Log0LTQvtGB0YI=?= =?UTF-8?B?0YPQv9C90YvRhSDRjdC70LjQv9GC0LjRh9C10YHQutC40LUg0LrRgNC40LI=?= =?UTF-8?B?0YvRhT8=?= Message-ID: Здравствуйте! Онлайн тест на сайте https://www.htbridge.com/ssl/ указывает на доступность слабых/не совместимых со стандартом NIST эллиптических кривых: SUPPORTED ELLIPTIC CURVES List of all elliptic curves supported by the server: B-571 (sect571r1) (570 bits) Good configuration K-571 (sect571k1) (570 bits) Good configuration P-521 (secp521r1) (521 bits) Good configuration brainpoolP512r1 (512 bits) Good configuration K-409 (sect409k1) (407 bits) Good configuration B-409 (sect409r1) (409 bits) Good configuration brainpoolP384r1 (384 bits) Good configuration P-384 (secp384r1) (384 bits) Good configuration K-283 (sect283k1) (281 bits) Good configuration B-283 (sect283r1) (282 bits) Good configuration brainpoolP256r1 (256 bits) Good configuration secp256k1 (256 bits) Good configuration P-256 (prime256v1) (256 bits) Good configuration sect239k1 (238 bits) Good configuration K-233 (sect233k1) (232 bits) Good configuration B-233 (sect233r1) (233 bits) Good configuration secp224k1 (225 bits) Good configuration P-224 (secp224r1) (224 bits) Good configuration sect193r1 (193 bits) Non-compliant with NIST guidelines sect193r2 (193 bits) Non-compliant with NIST guidelines secp192k1 (192 bits) Non-compliant with NIST guidelines P-192 (prime192v1) (192 bits) Non-compliant with NIST guidelines K-163 (sect163k1) (163 bits) Non-compliant with NIST guidelines sect163r1 (162 bits) Non-compliant with NIST guidelines B-163 (sect163r2) (163 bits) Non-compliant with NIST guidelines secp160k1 (161 bits) Non-compliant with NIST guidelines secp160r1 (161 bits) Non-compliant with NIST guidelines secp160r2 (161 bits) Non-compliant with NIST guidelines попытка подрезать ненужные, указав в одном из сайтов параметр ssl_ecdh_curve sect571r1:sect571k1:secp521r1:brainpoolP512r1:sect409k1:sect409r1:brainpoolP384r1:secp384r1:sect283k1:sect283r1:brainpoolP256r1:secp256k1:prime256v1; не привела к результату. Отсюда вопрос, как сократить список доступных эллиптических кривых с разрядностью менее 256 бит? From nginx на mva.name Wed Jul 20 12:46:12 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Wed, 20 Jul 2016 19:46:12 +0700 Subject: =?UTF-8?B?UmU6INCa0LDQuiDRgdC+0LrRgNCw0YLQuNGC0Ywg0YHQv9C40YHQvtC6INC00L4=?= =?UTF-8?B?0YHRgtGD0L/QvdGL0YUg0Y3Qu9C40L/RgtC40YfQtdGB0LrQuNC1INC60YA=?= =?UTF-8?B?0LjQstGL0YU/?= In-Reply-To: References: Message-ID: <1741497.tCGvKOyliJ@note> 1) насколько я помню, подобные директивы конфигурируются не посайтово (в server{}), а глобально (в http{}) и не уверен насчёт посокетности (т.е. один раз на один сокет в дефолтном для него server{}. 2) я бы не сказал, что все "несовместимые с NIST (в т.ч. <256b) кривые являются слабыми. Как на счёт ed25519? // к слову, настраивай я какой-нибудь криптопараноидальный сервер - я бы наоборот запретил NIST'овые и оставил только ed25519. -- wbr, mva From nginx.org на dubrovskiy.net Wed Jul 20 14:10:02 2016 From: nginx.org на dubrovskiy.net (Ivan) Date: Wed, 20 Jul 2016 17:10:02 +0300 Subject: =?UTF-8?B?UmU6IFJlOiDQmtCw0Log0YHQvtC60YDQsNGC0LjRgtGMINGB0L/QuNGB0L7QuiA=?= =?UTF-8?B?0LTQvtGB0YLRg9C/0L3Ri9GFINGN0LvQuNC/0YLQuNGH0LXRgdC60LjQtSA=?= =?UTF-8?B?0LrRgNC40LLRi9GFPw==?= Message-ID: Уважаемый, wbr, Вы оказались правы! 1. Перенёс переменную ssl_ecdh_curve глобально в http и лишние эл.кривые отсеклись. И как только не догадался сам, всё же очевидно... 2. К своему стыду ничего про указанную Вами эл.кривая ed25519 не знаю, но обязательно почитаю... К тому же она не реализована в моём OpenSSL 1.0.2-chacha (1.0.2i-dev) Быстрый поиск показывает, что поддерживается только Chrome начиная с 50 версии... From mdounin на mdounin.ru Wed Jul 20 14:31:26 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 20 Jul 2016 17:31:26 +0300 Subject: =?UTF-8?B?UmU6INCa0LDQuiDRgdC+0LrRgNCw0YLQuNGC0Ywg0YHQv9C40YHQvtC6INC00L4=?= =?UTF-8?B?0YHRgtGD0L/QvdGL0YUg0Y3Qu9C40L/RgtC40YfQtdGB0LrQuNC1INC60YA=?= =?UTF-8?B?0LjQstGL0YU/?= In-Reply-To: References: Message-ID: <20160720143126.GR57459@mdounin.ru> Hello! On Wed, Jul 20, 2016 at 11:32:11AM +0300, Ivan wrote: > Здравствуйте! > Онлайн тест на сайте https://www.htbridge.com/ssl/ > указывает на доступность слабых/не совместимых со стандартом NIST > эллиптических кривых: > > SUPPORTED ELLIPTIC CURVES > List of all elliptic curves supported by the server: > > B-571 (sect571r1) (570 bits) Good configuration > K-571 (sect571k1) (570 bits) Good configuration > P-521 (secp521r1) (521 bits) Good configuration > brainpoolP512r1 (512 bits) Good configuration > K-409 (sect409k1) (407 bits) Good configuration > B-409 (sect409r1) (409 bits) Good configuration > brainpoolP384r1 (384 bits) Good configuration > P-384 (secp384r1) (384 bits) Good configuration > K-283 (sect283k1) (281 bits) Good configuration > B-283 (sect283r1) (282 bits) Good configuration > brainpoolP256r1 (256 bits) Good configuration > secp256k1 (256 bits) Good configuration > P-256 (prime256v1) (256 bits) Good configuration > sect239k1 (238 bits) Good configuration > K-233 (sect233k1) (232 bits) Good configuration > B-233 (sect233r1) (233 bits) Good configuration > secp224k1 (225 bits) Good configuration > P-224 (secp224r1) (224 bits) Good configuration > sect193r1 (193 bits) Non-compliant with NIST guidelines > sect193r2 (193 bits) Non-compliant with NIST guidelines > secp192k1 (192 bits) Non-compliant with NIST guidelines > P-192 (prime192v1) (192 bits) Non-compliant with NIST guidelines > K-163 (sect163k1) (163 bits) Non-compliant with NIST guidelines > sect163r1 (162 bits) Non-compliant with NIST guidelines > B-163 (sect163r2) (163 bits) Non-compliant with NIST guidelines > secp160k1 (161 bits) Non-compliant with NIST guidelines > secp160r1 (161 bits) Non-compliant with NIST guidelines > secp160r2 (161 bits) Non-compliant with NIST guidelines А какая версия OpenSSL используется ("nginx -V" покажет)? Судя по списку, это что-то из диапазона OpenSSL 1.0.2 - 1.0.2a. Если действительно так, то имеет смысл обновить и/или как минимум убедится, что известные дырки заткнуты. Если нет - то интересно узнать версию. В современных версиях (OpenSSL 1.0.2b и новее) по умолчанию включены только кривые не менее 256 бит. > попытка подрезать ненужные, указав в одном из сайтов параметр > ssl_ecdh_curve sect571r1:sect571k1:secp521r1:brainpoolP512r1:sect409k1:sect409r1:brainpoolP384r1:secp384r1:sect283k1:sect283r1:brainpoolP256r1:secp256k1:prime256v1; > не привела к результату. > Отсюда вопрос, как сократить список доступных эллиптических кривых с > разрядностью менее 256 бит? Директиву ssl_ecdh_curve надо указывать в сервере по умолчанию для конкретного сокета. Ну или на уровне http, тогда будет работать для всех серверов. Теоретически должно работать и в рамках выбора виртуального сервера по SNI, как например работает выбор шифров, но по факту OpenSSL так пока не умеет. Возможно, научится в следующих версиях. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Jul 21 11:49:28 2016 From: nginx-forum на forum.nginx.org (skeletor) Date: Thu, 21 Jul 2016 07:49:28 -0400 Subject: fastcgi + keepalive Message-ID: Всем привет. Почему вот такая конструкция не поддерживает keepalive: location / { ... fastcgi_pass 127.0.0.1:9000; fastcgi_keep_conn on; ... } а вот такая - поддерживает: upstream fcgi_backend { server 127.0.0.1:9000; keepalive 32; } ... location / { ... fastcgi_pass fcgi_backend; fastcgi_keep_conn on; ... } Проверял состояние соединений через netstat. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268400,268400#msg-268400 From mdounin на mdounin.ru Thu Jul 21 13:14:30 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 21 Jul 2016 16:14:30 +0300 Subject: fastcgi + keepalive In-Reply-To: References: Message-ID: <20160721131430.GU57459@mdounin.ru> Hello! On Thu, Jul 21, 2016 at 07:49:28AM -0400, skeletor wrote: > Всем привет. > Почему вот такая конструкция не поддерживает keepalive: > > location / { > ... > fastcgi_pass 127.0.0.1:9000; > fastcgi_keep_conn on; > ... > } > > а вот такая - поддерживает: > > upstream fcgi_backend { > server 127.0.0.1:9000; > keepalive 32; > } > ... > location / { > ... > fastcgi_pass fcgi_backend; > fastcgi_keep_conn on; > ... > } > > Проверял состояние соединений через netstat. Для поддержания постоянных соединений требуется две вещи: - Проинструктировать бекенд, чтобы по завершению запроса он соединение не закрывал. Для FastCGI это делает директива fastcgi_keep_conn. - Включить собственно кеш соединений. Это делает директива keepalive в рамках блока upstream. При использовании адреса в директиве fastcgi_pass, как в вашем первом примере, создаётся неявный upstream с настройками по умолчанию. Кеша соединений в нём нет, и соответственно постоянные соединения не используются. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Jul 21 13:39:40 2016 From: nginx-forum на forum.nginx.org (skeletor) Date: Thu, 21 Jul 2016 09:39:40 -0400 Subject: fastcgi + keepalive In-Reply-To: <20160721131430.GU57459@mdounin.ru> References: <20160721131430.GU57459@mdounin.ru> Message-ID: Спасибо, теперь ясно. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268400,268402#msg-268402 From nginx-forum на forum.nginx.org Thu Jul 21 15:17:42 2016 From: nginx-forum на forum.nginx.org (siroco) Date: Thu, 21 Jul 2016 11:17:42 -0400 Subject: =?UTF-8?B?0J3QtSDQv9C+0L3QuNC80LDRjiDQutCw0Log0YDQsNCx0L7RgtCw0LXRgiBsaW1p?= =?UTF-8?B?dCByZXEg0LggbGltaXQgY29ubg==?= Message-ID: <0dfb33e24a5696c0af497018383bf036.NginxMailingListRussian@forum.nginx.org> Всем привет! Пытаюсь настроить базовую защиту от DDOS, но не могу получить в тестах подтверждение того, что выставленные параметры работают как надо. Имеется nginx/1.10.1. Нагрузочные тесты запускаются с одной единственной машинки с IP 172.20.241.135: (в nginx.conf прописано) ----------------------------------------------------------------- geo $limited { default 1; 192.168.45.56/32 0; 172.20.241.135/32 1; } map $limited $limit { 1 $binary_remote_addr; 0 ""; } limit_req_zone $limit zone=1000reqpersec:10m rate=1000r/s; limit_conn_zone $limit zone=conn_limit_per_ip:10m; limit_req_status 429; limit_conn_status 429; limit_req_log_level notice; ----------------------------------------------------------------- (в конфиге виртуального сервера, se-centos7.domain.com.conf) ----------------------------------------------------------------- location /withlimits { limit_req zone=1000reqpersec; limit_conn conn_limit_per_ip 10; root /usr/share/nginx/html; } ----------------------------------------------------------------- Хочу получить подтверждение, что 1000 запросов в секунду все таки проходит. Пробую утилитку vegeta (https://github.com/tsenart/vegeta): (вот такой заголовок запроса) # cat plan.txt GET http://se-centos7.domain.com/withlimits/test.html User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:40.0) Gecko/20100101 Firefox/40.0 Host: se-centos7.domain.com Accept-Encoding: gzip, deflate Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 (пробуем 800 запросов в секунду) # vegeta attack -duration=30s -rate=800 -timeout=1s -workers=40 -targets=./plan.txt | vegeta report Requests [total, rate] 24000, 800.03 Duration [total, attack, wait] 29.999213425s, 29.998749891s, 463.534µs Latencies [mean, 50, 95, 99, max] 387.177µs, 354.506µs, 453.12µs, 1.155159ms, 11.057387ms Bytes In [total, mean] 14434520, 601.44 Bytes Out [total, mean] 0, 0.00 Success [ratio] 99.12% Status Codes [code:count] 429:212 200:23788 Error Set: 429 Видим, что 800 запросов не держит.. В error-логе вот что: 2016/07/21 17:56:46 [notice] 4881#4881: *399 limiting requests, excess: 1.000 by zone "1000reqpersec", client: 172.20.241.135, server: se-centos7.domain.com, request: "GET /withlimits/test.html HTTP/1.1", host: "se-centos7.domain.com" 2016/07/21 17:56:47 [notice] 4881#4881: *393 limiting requests, excess: 1.000 by zone "1000reqpersec", client: 172.20.241.135, server: se-centos7.domain.com, request: "GET /withlimits/test.html HTTP/1.1", host: "se-centos7.domain.com" При использовании улититы wrk2 (https://github.com/giltene/wrk2) видим все то же, уже на 500 запросах в минуту (R500): # ./wrk -t2 -c5 -d30s -R500 http://se-centos7.domain.com/withlimits/ Running 30s test @ http://se-centos7.domain.com/withlimits/ 2 threads and 5 connections Thread calibration: mean lat.: 1.076ms, rate sampling interval: 10ms Thread calibration: mean lat.: 0.974ms, rate sampling interval: 10ms Thread Stats Avg Stdev Max +/- Stdev Latency 1.03ms 374.32us 6.14ms 67.16% Req/Sec 267.14 53.27 444.00 59.96% 15002 requests in 30.00s, 10.75MB read Non-2xx or 3xx responses: 4019 Requests/sec: 500.03 Transfer/sec: 366.90KB Видим, что "Non-2xx or 3xx responses: 4019", т.е. много 429ых ошибок. Параметр limit_conn тоже не работает, не срабатывает ограничение в 10 коннекций с одного IP.. Что я делаю не так? Как можно получить подтверждение того, что выставленные лимиты отрабатывают правильно. -- s. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268405,268405#msg-268405 From vbart на nginx.com Thu Jul 21 15:28:03 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Thu, 21 Jul 2016 18:28:03 +0300 Subject: =?UTF-8?B?UmU6INCd0LUg0L/QvtC90LjQvNCw0Y4g0LrQsNC6INGA0LDQsdC+0YLQsNC10YIg?= =?UTF-8?B?bGltaXQgcmVxINC4IGxpbWl0IGNvbm4=?= In-Reply-To: <0dfb33e24a5696c0af497018383bf036.NginxMailingListRussian@forum.nginx.org> References: <0dfb33e24a5696c0af497018383bf036.NginxMailingListRussian@forum.nginx.org> Message-ID: <2196094.DEJZaYQmsD@vbart-workstation> On Thursday 21 July 2016 11:17:42 siroco wrote: [..] > > Что я делаю не так? > > Как можно получить подтверждение того, что выставленные лимиты отрабатывают > правильно. > Проверять правильно. Вы выставили строгий лимит 1000r/s, что предполагает не более 1 запроса в течение миллисекунды. Если ваши запросы поступают чаще, то получается ошибка. Учитывая строгость лимита, уложиться в него более менее точно едва ли возможно, поскольку даже если два запроса было отправлено с интервалом около 1 мс, нет гарантии того, что на сервер они попадут и будут обработаны с таким же интервалом. Возможны всякие всплески, задержки, и т.д. Ослабьте лимит, задайте опцию burst и все будет хорошо. -- Валентин Бартенев From basil на vpm.net.ua Thu Jul 21 15:35:28 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Thu, 21 Jul 2016 18:35:28 +0300 Subject: =?UTF-8?B?UmU6INCd0LUg0L/QvtC90LjQvNCw0Y4g0LrQsNC6INGA0LDQsdC+0YLQsNC10YIg?= =?UTF-8?B?bGltaXQgcmVxINC4IGxpbWl0IGNvbm4=?= In-Reply-To: <0dfb33e24a5696c0af497018383bf036.NginxMailingListRussian@forum.nginx.org> References: <0dfb33e24a5696c0af497018383bf036.NginxMailingListRussian@forum.nginx.org> Message-ID: Та никто вас ддосить так не будет - это накладно, проще найти какой-нибудь скрипт на сайте и дергать его - больше толку будет. Когда нас ддосили все началось с поискового скрипта - 1000 запросов на поиск с 10-ти серверов предостаточно, мы ложились от 500 запросов, ибо никакой защиты от этого не предусмотрено, а поиск должен быть для всех - такова специфика портала. Потом простенький скрипт подсчета открытых сокетов с одного айпи и бан в айпителбсах решил данный вопрос и с таким ддосом от нас отстали, ибо не получается. На следующий день к нам пришли с ддосом удп-ответов от днс-серверов, наш датацентр сдался после 20 гигабит и заблекхолил нашу сетку. Сейчас сайт переписан для работы через клоудфлеер, а сам клоудфлеер ходит на сервер через совсем другую сеть. Займитесь лучше настройкой клоудфлеера - это бесплатно и если что вы будете готовы к любой ситуации, а ддосить клоудфлеер почти что бесперспективное занятие. А на лимиты забейте - это не поможет 21 июля 2016 г., 18:17 пользователь siroco написал: > Всем привет! > > Пытаюсь настроить базовую защиту от DDOS, но не могу получить в тестах > подтверждение того, что выставленные параметры работают как надо. > > Имеется nginx/1.10.1. > Нагрузочные тесты запускаются с одной единственной машинки с IP > 172.20.241.135: > > (в nginx.conf прописано) > > ----------------------------------------------------------------- > geo $limited { > default 1; > 192.168.45.56/32 0; > 172.20.241.135/32 1; > } > > map $limited $limit { > 1 $binary_remote_addr; > 0 ""; > } > > limit_req_zone $limit zone=1000reqpersec:10m rate=1000r/s; > limit_conn_zone $limit zone=conn_limit_per_ip:10m; > > limit_req_status 429; > limit_conn_status 429; > limit_req_log_level notice; > ----------------------------------------------------------------- > > > (в конфиге виртуального сервера, se-centos7.domain.com.conf) > ----------------------------------------------------------------- > location /withlimits { > > limit_req zone=1000reqpersec; > limit_conn conn_limit_per_ip 10; > > root /usr/share/nginx/html; > > } > ----------------------------------------------------------------- > > > > Хочу получить подтверждение, что 1000 запросов в секунду все таки проходит. > > Пробую утилитку vegeta (https://github.com/tsenart/vegeta): > > (вот такой заголовок запроса) > # cat plan.txt > GET http://se-centos7.domain.com/withlimits/test.html > User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:40.0) > Gecko/20100101 Firefox/40.0 > Host: se-centos7.domain.com > Accept-Encoding: gzip, deflate > Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 > > > (пробуем 800 запросов в секунду) > # vegeta attack -duration=30s -rate=800 -timeout=1s -workers=40 > -targets=./plan.txt | vegeta report > Requests [total, rate] 24000, 800.03 > Duration [total, attack, wait] 29.999213425s, 29.998749891s, > 463.534µs > Latencies [mean, 50, 95, 99, max] 387.177µs, 354.506µs, 453.12µs, > 1.155159ms, 11.057387ms > Bytes In [total, mean] 14434520, 601.44 > Bytes Out [total, mean] 0, 0.00 > Success [ratio] 99.12% > Status Codes [code:count] 429:212 200:23788 > Error Set: > 429 > > > Видим, что 800 запросов не держит.. В error-логе вот что: > > 2016/07/21 17:56:46 [notice] 4881#4881: *399 limiting requests, excess: > 1.000 by zone "1000reqpersec", client: 172.20.241.135, server: > se-centos7.domain.com, request: "GET /withlimits/test.html HTTP/1.1", > host: > "se-centos7.domain.com" > 2016/07/21 17:56:47 [notice] 4881#4881: *393 limiting requests, excess: > 1.000 by zone "1000reqpersec", client: 172.20.241.135, server: > se-centos7.domain.com, request: "GET /withlimits/test.html HTTP/1.1", > host: > "se-centos7.domain.com" > > > > При использовании улититы wrk2 (https://github.com/giltene/wrk2) видим все > то же, уже на 500 запросах в минуту (R500): > > # ./wrk -t2 -c5 -d30s -R500 http://se-centos7.domain.com/withlimits/ > Running 30s test @ http://se-centos7.domain.com/withlimits/ > 2 threads and 5 connections > Thread calibration: mean lat.: 1.076ms, rate sampling interval: 10ms > Thread calibration: mean lat.: 0.974ms, rate sampling interval: 10ms > Thread Stats Avg Stdev Max +/- Stdev > Latency 1.03ms 374.32us 6.14ms 67.16% > Req/Sec 267.14 53.27 444.00 59.96% > 15002 requests in 30.00s, 10.75MB read > Non-2xx or 3xx responses: 4019 > Requests/sec: 500.03 > Transfer/sec: 366.90KB > > Видим, что "Non-2xx or 3xx responses: 4019", т.е. много 429ых ошибок. > > Параметр limit_conn тоже не работает, не срабатывает ограничение в 10 > коннекций с одного IP.. > > Что я делаю не так? > > Как можно получить подтверждение того, что выставленные лимиты отрабатывают > правильно. > > -- > s. > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,268405,268405#msg-268405 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Fri Jul 22 08:30:41 2016 From: nginx-forum на forum.nginx.org (siroco) Date: Fri, 22 Jul 2016 04:30:41 -0400 Subject: =?UTF-8?B?UmU6INCd0LUg0L/QvtC90LjQvNCw0Y4g0LrQsNC6INGA0LDQsdC+0YLQsNC10YIg?= =?UTF-8?B?bGltaXQgcmVxINC4IGxpbWl0IGNvbm4=?= In-Reply-To: <2196094.DEJZaYQmsD@vbart-workstation> References: <2196094.DEJZaYQmsD@vbart-workstation> Message-ID: <39cca17f8b6a0e812fa21fdf020ac1d0.NginxMailingListRussian@forum.nginx.org> Спасибо за ответ! Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268406,268418#msg-268418 From nginx-forum на forum.nginx.org Fri Jul 22 15:31:33 2016 From: nginx-forum на forum.nginx.org (veris) Date: Fri, 22 Jul 2016 11:31:33 -0400 Subject: =?UTF-8?B?QXBhY2hlINC90LUg0LLQuNC00LjRgiByZW1vdGUgaG9zdCDQv9C+0YHQtdGC0Lg=?= =?UTF-8?B?0YLQtdC70Y8=?= Message-ID: <0329c34c63898eaf5990a9d323aa9ffe.NginxMailingListRussian@forum.nginx.org> Доброго времени суток! Такая петрушка: Debian 8, apache + nginx (frontend) (если нужны точные версию, то попозже напишу) все это автоматом ставилось вместе с ispmanager 5 ip посетителя определяет нормально а вот remote_host всегда localhost (HostnameLookups включен) гугление не помогло, везде про ip написано такое впечатление что nginx не передает хосты, может что тоже включить надо? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268429,268429#msg-268429 From leave на nixkid.com Fri Jul 22 15:43:57 2016 From: leave на nixkid.com (Pavel Mihaduk) Date: Fri, 22 Jul 2016 18:43:57 +0300 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <0329c34c63898eaf5990a9d323aa9ffe.NginxMailingListRussian@forum.nginx.org> References: <0329c34c63898eaf5990a9d323aa9ffe.NginxMailingListRussian@forum.nginx.org> Message-ID: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> Поставить и настроить mod_rpaf или использовать mod_remoteip (если у вас apache 2.4) > On 22 июля 2016 г., at 18:31, veris wrote: > > Доброго времени суток! > > Такая петрушка: > > Debian 8, apache + nginx (frontend) (если нужны точные версию, то попозже > напишу) > все это автоматом ставилось вместе с ispmanager 5 > > ip посетителя определяет нормально > а вот remote_host всегда localhost (HostnameLookups включен) > > гугление не помогло, везде про ip написано > > такое впечатление что nginx не передает хосты, может что тоже включить надо? > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268429,268429#msg-268429 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum на forum.nginx.org Sat Jul 23 03:22:47 2016 From: nginx-forum на forum.nginx.org (veris) Date: Fri, 22 Jul 2016 23:22:47 -0400 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> Message-ID: <91172f8bfd18e582bc2ee264d5dbc510.NginxMailingListRussian@forum.nginx.org> Pavel Mihaduk Wrote: ------------------------------------------------------- > Поставить и настроить mod_rpaf или использовать mod_remoteip (если у > вас apache 2.4) Но ip определяется нормально. А хост должен из ip определяться, если я правильно понял ман. Не может ли это с еще с PHP быть связано? Натыкался на ман cgi, что если хост не задан, то выводит локалхост. Попробую включить remoteip, хотя чет сомневаюсь. Конфиг стандартный как при неопределяющимся ip ? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268430,268434#msg-268434 From nginx-forum на forum.nginx.org Sat Jul 23 03:58:00 2016 From: nginx-forum на forum.nginx.org (veris) Date: Fri, 22 Jul 2016 23:58:00 -0400 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> Message-ID: <4c034d0161613f0591b0248906bd350e.NginxMailingListRussian@forum.nginx.org> кстати, оказывается mod_remoteip включен и настроен Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268430,268435#msg-268435 From nginx-forum на forum.nginx.org Sat Jul 23 04:43:05 2016 From: nginx-forum на forum.nginx.org (veris) Date: Sat, 23 Jul 2016 00:43:05 -0400 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> Message-ID: <2117bb6a7565803e7a31ecf78fb8d3eb.NginxMailingListRussian@forum.nginx.org> забыл написать задачу: нужно чтобы в htaccess работало allow from hostname Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268430,268436#msg-268436 From nginx-forum на forum.nginx.org Sun Jul 24 17:44:04 2016 From: nginx-forum на forum.nginx.org (DJ-X) Date: Sun, 24 Jul 2016 13:44:04 -0400 Subject: =?UTF-8?B?Tmdpbngg0LfQsNC/0YDQtdGCINC30LDQutCw0YfQutC4INGE0LDQudC70L7QsiA=?= =?UTF-8?B?0LHQtdC3IENvb2tpZXM=?= In-Reply-To: References: Message-ID: <170d95bd36c66702d64fbf3ca3613bda.NginxMailingListRussian@forum.nginx.org> Придумал такой вот конфиг! Nginx запрет закачки файлов без Cookies Блокировка доступа к файлам без Cookies Stop_Control=1 Заменяет паролирование папок и еще отличный хотлинк. Данный код открывает очень широкие возможности для разработчиков при минимальных нагрузках на сервер. location ~ "\.mp3$|\.mp4$|\.m4a$|\.zip$|\.rar$" { if ($http_cookie !~* "Stop_Control=1"){ return 403; } } Posted at Nginx Forum: https://forum.nginx.org/read.php?21,18238,268441#msg-268441 From leave на nixkid.com Mon Jul 25 09:08:15 2016 From: leave на nixkid.com (Pavel Mihaduk) Date: Mon, 25 Jul 2016 12:08:15 +0300 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <91172f8bfd18e582bc2ee264d5dbc510.NginxMailingListRussian@forum.nginx.org> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> <91172f8bfd18e582bc2ee264d5dbc510.NginxMailingListRussian@forum.nginx.org> Message-ID: <6792A1D4-6BCC-4441-9B76-97955E7ADBDC@nixkid.com> Хост у nginx определяется из remote_addr, им же подставляется в X-Real-IP (X-Forwarded-For), а в remote_addr уходит айпишник самого nginx. > On 23 июля 2016 г., at 06:22, veris wrote: > > Pavel Mihaduk Wrote: > ------------------------------------------------------- >> Поставить и настроить mod_rpaf или использовать mod_remoteip (если у >> вас apache 2.4) > > Но ip определяется нормально. А хост должен из ip определяться, если я > правильно понял ман. > Не может ли это с еще с PHP быть связано? Натыкался на ман cgi, что если > хост не задан, то выводит локалхост. > Попробую включить remoteip, хотя чет сомневаюсь. Конфиг стандартный как при > неопределяющимся ip ? > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268430,268434#msg-268434 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From vbart на nginx.com Mon Jul 25 09:49:40 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Mon, 25 Jul 2016 12:49:40 +0300 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <91172f8bfd18e582bc2ee264d5dbc510.NginxMailingListRussian@forum.nginx.org> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> <91172f8bfd18e582bc2ee264d5dbc510.NginxMailingListRussian@forum.nginx.org> Message-ID: <20698062.2aXuTgG5j4@vbart-laptop> On Friday 22 July 2016 23:22:47 veris wrote: > Pavel Mihaduk Wrote: > ------------------------------------------------------- > > Поставить и настроить mod_rpaf или использовать mod_remoteip (если у > > вас apache 2.4) > > Но ip определяется нормально. А хост должен из ip определяться, если я > правильно понял ман. > Не может ли это с еще с PHP быть связано? Натыкался на ман cgi, что если > хост не задан, то выводит локалхост. > Попробую включить remoteip, хотя чет сомневаюсь. Конфиг стандартный как при > неопределяющимся ip ? > [..] "Host" передается в заголовке запроса "Host". https://tools.ietf.org/html/rfc7230#section-5.4 http://nginx.org/r/proxy_set_header/ru -- Валентин Бартенев From nyaka на nyaka.org Mon Jul 25 09:49:04 2016 From: nyaka на nyaka.org (Dmitry Bogun) Date: Mon, 25 Jul 2016 12:49:04 +0300 Subject: =?UTF-8?B?UmU6IE5naW54INC30LDQv9GA0LXRgiDQt9Cw0LrQsNGH0LrQuCDRhNCw0LnQu9C+?= =?UTF-8?B?0LIg0LHQtdC3IENvb2tpZXM=?= In-Reply-To: <170d95bd36c66702d64fbf3ca3613bda.NginxMailingListRussian@forum.nginx.org> References: <170d95bd36c66702d64fbf3ca3613bda.NginxMailingListRussian@forum.nginx.org> Message-ID: Какова "целевая аудитория" этого запрета? Вы понимаете что пользователь, может прислать любой набор cookies, который захочет? > On Jul 24, 2016, at 8:44 PM, DJ-X wrote: > > Придумал такой вот конфиг! > Nginx запрет закачки файлов без Cookies > Блокировка доступа к файлам без Cookies Stop_Control=1 > Заменяет паролирование папок и еще отличный хотлинк. > Данный код открывает очень широкие возможности для разработчиков > при минимальных нагрузках на сервер. > > location ~ "\.mp3$|\.mp4$|\.m4a$|\.zip$|\.rar$" { > if ($http_cookie !~* "Stop_Control=1"){ > return 403; > } > } > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,18238,268441#msg-268441 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From leave на nixkid.com Mon Jul 25 09:56:25 2016 From: leave на nixkid.com (Pavel Mihaduk) Date: Mon, 25 Jul 2016 12:56:25 +0300 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <20698062.2aXuTgG5j4@vbart-laptop> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> <91172f8bfd18e582bc2ee264d5dbc510.NginxMailingListRussian@forum.nginx.org> <20698062.2aXuTgG5j4@vbart-laptop> Message-ID: <080AD8C9-5980-4294-B4DC-C52D1B798E10@nixkid.com> Еще раз перечитал первое письмо, и вообще запутался: >>ip посетителя определяет нормально >>а вот remote_host всегда localhost (HostnameLookups включен) Что в данном контексте есть remote_host? Судя по беглому гуглению, это какая-то php’шная приблуда, не имеющая вообще никакого отношения к nginx. Если remote_addr определяется правильно, то вам надо дальше копать конфиг апача и/или пхп, но при чем здесь тогда мейллист nginx? К слову, HostnameLookups очень неслабо влияет на производительность. > On 25 июля 2016 г., at 12:49, Валентин Бартенев wrote: > > On Friday 22 July 2016 23:22:47 veris wrote: >> Pavel Mihaduk Wrote: >> ------------------------------------------------------- >>> Поставить и настроить mod_rpaf или использовать mod_remoteip (если у >>> вас apache 2.4) >> >> Но ip определяется нормально. А хост должен из ip определяться, если я >> правильно понял ман. >> Не может ли это с еще с PHP быть связано? Натыкался на ман cgi, что если >> хост не задан, то выводит локалхост. >> Попробую включить remoteip, хотя чет сомневаюсь. Конфиг стандартный как при >> неопределяющимся ip ? >> > [..] > > "Host" передается в заголовке запроса "Host". > > https://tools.ietf.org/html/rfc7230#section-5.4 > http://nginx.org/r/proxy_set_header/ru > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx-forum на forum.nginx.org Mon Jul 25 10:52:37 2016 From: nginx-forum на forum.nginx.org (DJ-X) Date: Mon, 25 Jul 2016 06:52:37 -0400 Subject: =?UTF-8?B?UmU6IE5naW54INC30LDQv9GA0LXRgiDQt9Cw0LrQsNGH0LrQuCDRhNCw0LnQu9C+?= =?UTF-8?B?0LIg0LHQtdC3IENvb2tpZXM=?= In-Reply-To: References: Message-ID: <6a8cec5df493d01c33a605fbef99f1f9.NginxMailingListRussian@forum.nginx.org> Конечно я понимаю что паролирование папок будет надёжнее того что я написал. Для того чтобы прислать нужные куки для начала их нужно узнать. Можно чтобы эти файлы могли качать только прошедшие какуюто проверку на сайте и получившие нужные куки или сделать защиту файлов от не прошедших проверку - робот человек. А ещё можно будет придумать чтобы куки были динамическими например привязаны к часам или к дате и чтобы они периодически сами менялись как коды в Google Authenticator тогда это было бы надёжней даже чем паролирование папок. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,18238,268448#msg-268448 From nginx на mva.name Mon Jul 25 10:54:30 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 25 Jul 2016 17:54:30 +0700 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <080AD8C9-5980-4294-B4DC-C52D1B798E10@nixkid.com> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> <20698062.2aXuTgG5j4@vbart-laptop> <080AD8C9-5980-4294-B4DC-C52D1B798E10@nixkid.com> Message-ID: <1498079.3GL6zuniGG@note> > К слову, HostnameLookups очень неслабо влияет на производительность. И вообще эталон "нинужно" :) Не знаю, как топикстартера, а обычно администраторов интересуют только IP. И уж если очень захотелось - можно пойти и ручками отрезолвить обратку (только вот зачем?) From annulen на yandex.ru Mon Jul 25 10:55:04 2016 From: annulen на yandex.ru (Konstantin Tokarev) Date: Mon, 25 Jul 2016 13:55:04 +0300 Subject: =?UTF-8?B?UmU6IE5naW54INC30LDQv9GA0LXRgiDQt9Cw0LrQsNGH0LrQuCDRhNCw0LnQu9C+?= =?UTF-8?B?0LIg0LHQtdC3IENvb2tpZXM=?= In-Reply-To: <6a8cec5df493d01c33a605fbef99f1f9.NginxMailingListRussian@forum.nginx.org> References: <6a8cec5df493d01c33a605fbef99f1f9.NginxMailingListRussian@forum.nginx.org> Message-ID: <111471469444104@web6h.yandex.ru> 25.07.2016, 13:52, "DJ-X" : > Конечно я понимаю что паролирование папок будет надёжнее того что я > написал. > Для того чтобы прислать нужные куки для начала их нужно узнать. > Можно чтобы эти файлы могли качать только прошедшие какуюто проверку на > сайте и получившие нужные куки или сделать защиту файлов от не прошедших > проверку - робот человек. > А ещё можно будет придумать чтобы куки были динамическими например привязаны > к часам или к дате и чтобы они периодически сами менялись как коды в Google > Authenticator тогда это было бы надёжней даже чем паролирование папок. Такие вещи надо реализовывать в бэкэнде, а дальше использовать x-accel-redirect чтобы переложить фактическую раздачу статики на nginx > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,18238,268448#msg-268448 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Regards, Konstantin From nginx-forum на forum.nginx.org Mon Jul 25 12:34:30 2016 From: nginx-forum на forum.nginx.org (skeletor) Date: Mon, 25 Jul 2016 08:34:30 -0400 Subject: =?UTF-8?B?0J3QtdC+0LHRi9GH0L3Ri9C5IHByb3h5IHBhc3M=?= Message-ID: <6a25141c9d14ccbde1b9bcc130fc2bb1.NginxMailingListRussian@forum.nginx.org> Всем привет. Нужно сделать необычный proxy_pass: - http://domain.com -> http://domain2.com/someURI - http://domain.com/URI -> http://domain2.com/URI пробовал банально: location / { proxy_pass http://domain2.com/someURI; } но тогда не открываются часть css (отдают 502). Чувствую, что может помочь proxy_redirect, но не въезжаю как именно. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268452,268452#msg-268452 From vbart на nginx.com Mon Jul 25 18:16:21 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Mon, 25 Jul 2016 21:16:21 +0300 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <20698062.2aXuTgG5j4@vbart-laptop> References: <9C5CE32E-504E-4304-A6CC-1687BD6081B0@nixkid.com> <91172f8bfd18e582bc2ee264d5dbc510.NginxMailingListRussian@forum.nginx.org> <20698062.2aXuTgG5j4@vbart-laptop> Message-ID: <4456347.y3WT01UMlA@vbart-workstation> On Monday 25 July 2016 12:49:40 Валентин Бартенев wrote: > On Friday 22 July 2016 23:22:47 veris wrote: > > Pavel Mihaduk Wrote: > > ------------------------------------------------------- > > > Поставить и настроить mod_rpaf или использовать mod_remoteip (если у > > > вас apache 2.4) > > > > Но ip определяется нормально. А хост должен из ip определяться, если я > > правильно понял ман. > > Не может ли это с еще с PHP быть связано? Натыкался на ман cgi, что если > > хост не задан, то выводит локалхост. > > Попробую включить remoteip, хотя чет сомневаюсь. Конфиг стандартный как при > > неопределяющимся ip ? > > > [..] > > "Host" передается в заголовке запроса "Host". > > https://tools.ietf.org/html/rfc7230#section-5.4 > http://nginx.org/r/proxy_set_header/ru > [..] Извиняюсь, перечитал топик с самого начал, понял о каком хосте речь. Разумеется специально никакого хоста клиента не передается, это уже по желанию бекенда - резолвить ли IP клиента или нет. Возможно, что в apache эта функциональность плохо дружит с подменой IP-адреса из заголовка с помощью модулей (продолжает использовать IP соединения). -- Валентин Бартенев From andrey на kopeyko.ru Mon Jul 25 18:59:36 2016 From: andrey на kopeyko.ru (Andrey Kopeyko) Date: Mon, 25 Jul 2016 21:59:36 +0300 (MSK) Subject: =?UTF-8?B?UmU6INCd0LXQvtCx0YvRh9C90YvQuSBwcm94eSBwYXNz?= In-Reply-To: <6a25141c9d14ccbde1b9bcc130fc2bb1.NginxMailingListRussian@forum.nginx.org> References: <6a25141c9d14ccbde1b9bcc130fc2bb1.NginxMailingListRussian@forum.nginx.org> Message-ID: On Mon, 25 Jul 2016, skeletor wrote: > Всем привет. Добрый вечер! > Нужно сделать необычный proxy_pass: > - http://domain.com -> http://domain2.com/someURI > - http://domain.com/URI -> http://domain2.com/URI > > пробовал банально: > > location / { > proxy_pass http://domain2.com/someURI; > } > > но тогда не открываются часть css (отдают 502). Предполагая, что вам надо только главную страницу проксировать в другое место, конфиг будет примерно таким: location = / { proxy_pass http://domain2.com/someURI; } location / { proxy_pass http://domain2.com/URI; } > Чувствую, что может помочь proxy_redirect, но не въезжаю как именно. proxy_redirect помогает лишь когда ваш бэкенд отдаёт "не то" имя сервера в заголовке "Location". -- Best regards, Andrey Kopeyko From thresh на nginx.com Tue Jul 26 10:12:50 2016 From: thresh на nginx.com (Konstantin Pavlov) Date: Tue, 26 Jul 2016 13:12:50 +0300 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: <0329c34c63898eaf5990a9d323aa9ffe.NginxMailingListRussian@forum.nginx.org> References: <0329c34c63898eaf5990a9d323aa9ffe.NginxMailingListRussian@forum.nginx.org> Message-ID: On 22/07/2016 18:31, veris wrote: > Доброго времени суток! > > Такая петрушка: > > Debian 8, apache + nginx (frontend) (если нужны точные версию, то попозже > напишу) > все это автоматом ставилось вместе с ispmanager 5 > > ip посетителя определяет нормально > а вот remote_host всегда localhost (HostnameLookups включен) > > гугление не помогло, везде про ip написано > > такое впечатление что nginx не передает хосты, может что тоже включить надо? У Apache 2.2 есть проблемы с mod_remoteip, более-менее нормально работает только mod_rpaf. Подробнее почитать можно в https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=807120 . -- Konstantin Pavlov Build & Deliver Applications, Flawlessly. nginx.conf 2016: September 7-9, Austin, TX https://nginx.com/nginxconf/ From thresh на nginx.com Tue Jul 26 10:13:43 2016 From: thresh на nginx.com (Konstantin Pavlov) Date: Tue, 26 Jul 2016 13:13:43 +0300 Subject: =?UTF-8?B?UmU6IEFwYWNoZSDQvdC1INCy0LjQtNC40YIgcmVtb3RlIGhvc3Qg0L/QvtGB0LU=?= =?UTF-8?B?0YLQuNGC0LXQu9GP?= In-Reply-To: References: <0329c34c63898eaf5990a9d323aa9ffe.NginxMailingListRussian@forum.nginx.org> Message-ID: On 26/07/2016 13:12, Konstantin Pavlov wrote: > On 22/07/2016 18:31, veris wrote: >> Доброго времени суток! >> >> Такая петрушка: >> >> Debian 8, apache + nginx (frontend) (если нужны точные версию, то попозже >> напишу) >> все это автоматом ставилось вместе с ispmanager 5 >> >> ip посетителя определяет нормально >> а вот remote_host всегда localhost (HostnameLookups включен) >> >> гугление не помогло, везде про ip написано >> >> такое впечатление что nginx не передает хосты, может что тоже включить надо? > > У Apache 2.2 есть проблемы с mod_remoteip, более-менее нормально работает только mod_rpaf. Подробнее почитать можно в https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=807120 . Я имел в виду, конечно, Apache 2.4 из Debian 8 Jessie. -- Konstantin Pavlov Build & Deliver Applications, Flawlessly. nginx.conf 2016: September 7-9, Austin, TX https://nginx.com/nginxconf/ From amigo.elite на gmail.com Tue Jul 26 13:47:18 2016 From: amigo.elite на gmail.com (Vladimir Stackov) Date: Tue, 26 Jul 2016 16:47:18 +0300 Subject: Nginx UDP failover Message-ID: Приветствую! Есть ли какая-нибудь реализованная возможность определять недоступность UDP-бекэнда в upstream? Скажем, ожидаются определённые байты в ответе и, если их нет, то nginx следует осуществить переключение на следующий бекэнд. -- Kind regards, Vladimir. ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From maxim на nginx.com Tue Jul 26 13:51:29 2016 From: maxim на nginx.com (Maxim Konovalov) Date: Tue, 26 Jul 2016 16:51:29 +0300 Subject: Nginx UDP failover In-Reply-To: References: Message-ID: On 7/26/16 4:47 PM, Vladimir Stackov wrote: > Приветствую! > > Есть ли какая-нибудь реализованная возможность определять > недоступность UDP-бекэнда в upstream? > Скажем, ожидаются определённые байты в ответе и, если их нет, то > nginx следует осуществить переключение на следующий бекэнд. > В -oss нет, есть в nginx-plus. -- Maxim Konovalov From mdounin на mdounin.ru Tue Jul 26 14:11:36 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 26 Jul 2016 17:11:36 +0300 Subject: nginx-1.11.3 Message-ID: <20160726141136.GE57459@mdounin.ru> Изменения в nginx 1.11.3 26.07.2016 *) Изменение: теперь accept_mutex по умолчанию выключен. *) Добавление: теперь nginx использует EPOLLEXCLUSIVE на Linux. *) Добавление: модуль ngx_stream_geo_module. *) Добавление: модуль ngx_stream_geoip_module. *) Добавление: модуль ngx_stream_split_clients_module. *) Добавление: директивы proxy_pass и proxy_ssl_name в модуле stream поддерживают переменные. *) Исправление: утечки сокетов при использовании HTTP/2. *) Исправление: в configure. Спасибо Piotr Sikora. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Tue Jul 26 16:38:39 2016 From: nginx-forum на forum.nginx.org (rurik) Date: Tue, 26 Jul 2016 12:38:39 -0400 Subject: =?UTF-8?Q?rewrite_c_/app/555_=D0=BD=D0=B0_/=23app/555?= Message-ID: Задача: nginx должен менять урл /app/555 на /#app/555 и отправлять на бекенд сервер. Текущая конфигурация nginx: server { listen 80; server_name www.mydomain.com; location / { proxy_pass http://my-backend; } location /app/ { rewrite ^/(.*)$ "/\\#$1" break; proxy_pass http://my-backend; } } Nginx выдает вот такую ошибку: Bad request For request 'GET /\%23app/1' [Illegal character in path at index 1: /\%23app/1] Подскажите как правильно экранировать символ "#" ? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268510,268510#msg-268510 From sargaskn на gmail.com Tue Jul 26 20:33:01 2016 From: sargaskn на gmail.com (Sargas) Date: Tue, 26 Jul 2016 23:33:01 +0300 Subject: nginx-1.11.3 In-Reply-To: <20160726141136.GE57459@mdounin.ru> References: <20160726141136.GE57459@mdounin.ru> Message-ID: Здравствуйте. А почему решили поменять дефолтное значение accept_mutex ? 26 июля 2016 г., 17:11 пользователь Maxim Dounin написал: > Изменения в nginx 1.11.3 > 26.07.2016 > > *) Изменение: теперь accept_mutex по умолчанию выключен. > > *) Добавление: теперь nginx использует EPOLLEXCLUSIVE на Linux. > > *) Добавление: модуль ngx_stream_geo_module. > > *) Добавление: модуль ngx_stream_geoip_module. > > *) Добавление: модуль ngx_stream_split_clients_module. > > *) Добавление: директивы proxy_pass и proxy_ssl_name в модуле stream > поддерживают переменные. > > *) Исправление: утечки сокетов при использовании HTTP/2. > > *) Исправление: в configure. > Спасибо Piotr Sikora. > > > -- > Maxim Dounin > http://nginx.org/ > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mdounin на mdounin.ru Tue Jul 26 21:10:16 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 27 Jul 2016 00:10:16 +0300 Subject: nginx-1.11.3 In-Reply-To: References: <20160726141136.GE57459@mdounin.ru> Message-ID: <20160726211016.GJ57459@mdounin.ru> Hello! On Tue, Jul 26, 2016 at 11:33:01PM +0300, Sargas wrote: > А почему решили поменять дефолтное значение accept_mutex ? Устали объяснять любителям тестов производительности, что его надо выключать, если хочется получить близкие к реальности результаты. Кроме того, он не нужен (и не совместим) с "listen ... reuseport", и, что более важно, свежедобавленным использованием EPOLLEXCLUSIVE. Т.е., фактически, на всех Linux'ах он рано или поздно всё равно выключится. -- Maxim Dounin http://nginx.org/ From vbart на nginx.com Tue Jul 26 21:12:53 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Wed, 27 Jul 2016 00:12:53 +0300 Subject: nginx-1.11.3 In-Reply-To: References: <20160726141136.GE57459@mdounin.ru> Message-ID: <2140830.GMdpLLXsFS@vbart-laptop> On Tuesday 26 July 2016 23:33:01 Sargas wrote: > Здравствуйте. > > А почему решили поменять дефолтное значение accept_mutex ? > [..] Тому есть как минимум два повода: 1. accept_mutex не нужен при использовании EPOLLEXCLUSIVE; 2. Любители бенчмарков забывают выключать accept_mutex и получают сильно заниженные показатели. -- Валентин Бартенев From sargaskn на gmail.com Tue Jul 26 22:20:11 2016 From: sargaskn на gmail.com (Sargas) Date: Wed, 27 Jul 2016 01:20:11 +0300 Subject: nginx-1.11.3 In-Reply-To: <2140830.GMdpLLXsFS@vbart-laptop> References: <20160726141136.GE57459@mdounin.ru> <2140830.GMdpLLXsFS@vbart-laptop> Message-ID: Благодарю за ответы! 27 июля 2016 г., 0:12 пользователь Валентин Бартенев написал: > On Tuesday 26 July 2016 23:33:01 Sargas wrote: > > Здравствуйте. > > > > А почему решили поменять дефолтное значение accept_mutex ? > > > [..] > > Тому есть как минимум два повода: > > 1. accept_mutex не нужен при использовании EPOLLEXCLUSIVE; > > 2. Любители бенчмарков забывают выключать accept_mutex и получают сильно > заниженные показатели. > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From konstantin на symbi.org Wed Jul 27 00:38:39 2016 From: konstantin на symbi.org (Konstantin Baryshnikov) Date: Wed, 27 Jul 2016 03:38:39 +0300 Subject: =?UTF-8?Q?Re=3A_rewrite_c_/app/555_=D0=BD=D0=B0_/=23app/555?= In-Reply-To: References: Message-ID: <2BA6093F-AC5C-44E2-81DC-17B3C8A17E93@symbi.org> > On Jul 26, 2016, at 7:38 PM, rurik wrote: > > Задача: > > nginx должен менять урл /app/555 на /#app/555 и отправлять на бекенд > сервер. ... > > Bad request For request 'GET /\%23app/1' [Illegal character in path at index > 1: /\%23app/1] nginx вам все правильно говорит. Часть URL начиная с # имеет смысл только для браузера и на сервер не передается. С точки зрения сервера - это некорректный URL. То, что вы хотите, делается так: отдаете браузеру редирект /app/555 -> /#app/555, а дальше браузер уже запросит /, который и спроксируете. From nginx-forum на forum.nginx.org Wed Jul 27 07:37:33 2016 From: nginx-forum на forum.nginx.org (rba) Date: Wed, 27 Jul 2016 03:37:33 -0400 Subject: =?UTF-8?B?0JDQvdCw0LvQvtCzINC80L7QtNC40YTQuNC60LDRgtC+0YDQsCBnINC00LvRjyBt?= =?UTF-8?B?YXA=?= Message-ID: <940bd40929625efcb0095949d03aec4c.NginxMailingListRussian@forum.nginx.org> Есть ли возможность сделать c помощью map или еще каких-нибудь директив преобразование типа echo "a1=1&a2=2&a3=3" | sed 's/&/ AND /g' при том что кол-во переменных неизвество Я нашел тему 2014 где Maxim Dounin что it's not suppot http://nginx.2469901.n2.nabble.com/Use-g-global-regex-modifier-in-map-td7590975.html но вдруг за два года появилось изящное решение? Вариант с perl модулем не устрайвает. У меня конечно возникла мысль накопипастить что-то типа map $args $filters_stady2 { default "args"; "~*(?[a-zA-Z0-9_+-=,.]+)&(?[a-zA-Z0-9_+-=,.&]+)" "$tmp0 AND $tmp1"; } map $filters_stady2 $filters_stady3 { default "$filters_stady2"; "~*(?[a-zA-Z0-9_+-=,. ]+)&(?[a-zA-Z0-9_+-=,.&]+)" "$tmp0 AND $tmp1"; } map $filters_stady3 $filters_stady4 { default "$filters_stady3"; "~*(?[a-zA-Z0-9_+-=,. ]+)&(?[a-zA-Z0-9_+-=,.&]+)" "$tmp0 AND $tmp1"; } ... до предполагаемого максимального кол-ва переменных а потом использовать $filters_stadyПоследний, но Может быть есть возможность написать это компактней? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268536,268536#msg-268536 From nginx-forum на forum.nginx.org Wed Jul 27 08:21:57 2016 From: nginx-forum на forum.nginx.org (rurik) Date: Wed, 27 Jul 2016 04:21:57 -0400 Subject: =?UTF-8?Q?Re=3A_rewrite_c_/app/555_=D0=BD=D0=B0_/=23app/555?= In-Reply-To: <2BA6093F-AC5C-44E2-81DC-17B3C8A17E93@symbi.org> References: <2BA6093F-AC5C-44E2-81DC-17B3C8A17E93@symbi.org> Message-ID: <0cb95e0563ba438981256ea782420a39.NginxMailingListRussian@forum.nginx.org> Спасибо за пояснение. что то я обэтом не подумал. Подскажите как правильно сделать этот редирект? Путем гугления нашел такой вот пример: server { server_name example.com; rewrite ^(.*)$ http://www.example.com$1 permanent; } В моем случае видимо будет так: server { listen 80; server_name www.mydomain.com; location /app/ { rewrite ^/app/(.*)$ "/#app/$1" break; } } Хотя опять примерно тоже самое получается. Наведите пожалуйста на мысль как правильно написать? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268510,268538#msg-268538 From nginx-forum на forum.nginx.org Wed Jul 27 08:31:50 2016 From: nginx-forum на forum.nginx.org (rurik) Date: Wed, 27 Jul 2016 04:31:50 -0400 Subject: =?UTF-8?Q?Re=3A_rewrite_c_/app/555_=D0=BD=D0=B0_/=23app/555?= In-Reply-To: <0cb95e0563ba438981256ea782420a39.NginxMailingListRussian@forum.nginx.org> References: <2BA6093F-AC5C-44E2-81DC-17B3C8A17E93@symbi.org> <0cb95e0563ba438981256ea782420a39.NginxMailingListRussian@forum.nginx.org> Message-ID: Кажется помогло. спасибо Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268510,268540#msg-268540 From nginx-forum на forum.nginx.org Wed Jul 27 08:55:35 2016 From: nginx-forum на forum.nginx.org (rurik) Date: Wed, 27 Jul 2016 04:55:35 -0400 Subject: =?UTF-8?Q?Re=3A_rewrite_c_/app/555_=D0=BD=D0=B0_/=23app/555?= In-Reply-To: References: <2BA6093F-AC5C-44E2-81DC-17B3C8A17E93@symbi.org> <0cb95e0563ba438981256ea782420a39.NginxMailingListRussian@forum.nginx.org> Message-ID: Подскажите а будет ли работать данный способ для поисковиков? произойдет ли редирект с /app/555 на /#app/555 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268510,268543#msg-268543 From nginx-forum на forum.nginx.org Wed Jul 27 16:21:04 2016 From: nginx-forum на forum.nginx.org (iotch) Date: Wed, 27 Jul 2016 12:21:04 -0400 Subject: =?UTF-8?B?Tmdpbngg0LvQvtCz0LjRgNGD0LXRgiDRgdC+0L7QsdGJ0LXQvdC40Y8g0YPRgNC+?= =?UTF-8?B?0LLQvdGPIGluZm8g0L/RgNC4INC80LjQvdC40LzQsNC70YzQvdC+0Lwg0YM=?= =?UTF-8?B?0YDQvtCy0L3QtSB3YXJu?= Message-ID: Здравствуйте. Nginx 1.11.13 логирует сообщения уровня info при минимальном уровне warn при использовании ngx_conf_log_error(). По словам разработчика, это может быть баг nginx, а не его модуля: https://github.com/wandenberg/nginx-push-stream-module/issues/244 Это ожидаемое поведение? Спасибо. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268561,268561#msg-268561 From sytar.alex на gmail.com Wed Jul 27 17:22:01 2016 From: sytar.alex на gmail.com (Aleksandr Sytar) Date: Wed, 27 Jul 2016 20:22:01 +0300 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: References: Message-ID: 27 июля 2016 г., 19:21 пользователь iotch написал: > Здравствуйте. > > Nginx 1.11.13 логирует сообщения уровня info при минимальном уровне warn > при > использовании ngx_conf_log_error(). По словам разработчика, это может быть > баг nginx, а не его модуля: > > https://github.com/wandenberg/nginx-push-stream-module/issues/244 > > Это ожидаемое поведение? > Если такого поведения нет в nginx без этого модуля, то это не баг nginx Отписал автору - просто он наверно сам в свой код не заглядывал _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mdounin на mdounin.ru Wed Jul 27 17:32:29 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 27 Jul 2016 20:32:29 +0300 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: References: Message-ID: <20160727173229.GL57459@mdounin.ru> Hello! On Wed, Jul 27, 2016 at 12:21:04PM -0400, iotch wrote: > Здравствуйте. > > Nginx 1.11.13 логирует сообщения уровня info при минимальном уровне warn при > использовании ngx_conf_log_error(). По словам разработчика, это может быть > баг nginx, а не его модуля: > > https://github.com/wandenberg/nginx-push-stream-module/issues/244 > > Это ожидаемое поведение? Скорее всего вы пытаетесь задавать лог ошибок не на глобальном уровне. Меж тем, ошибки чтения конфигурации выводятся в глобальный лог, и именно его настройки важны. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Wed Jul 27 17:40:47 2016 From: nginx-forum на forum.nginx.org (iotch) Date: Wed, 27 Jul 2016 13:40:47 -0400 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: <20160727173229.GL57459@mdounin.ru> References: <20160727173229.GL57459@mdounin.ru> Message-ID: <0d53abfe374220b3417f698776290862.NginxMailingListRussian@forum.nginx.org> nginx.conf выглядит так: user nginx; worker_processes 2; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { default_type application/octet-stream; include /etc/nginx/mime.types; sendfile on; keepalive_timeout 65; include /etc/nginx/conf.d/*.conf; push_stream_shared_memory_size 32m; } Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268561,268570#msg-268570 From konstantin на symbi.org Wed Jul 27 17:45:48 2016 From: konstantin на symbi.org (Konstantin Baryshnikov) Date: Wed, 27 Jul 2016 20:45:48 +0300 Subject: =?UTF-8?Q?Re=3A_rewrite_c_/app/555_=D0=BD=D0=B0_/=23app/555?= In-Reply-To: References: <2BA6093F-AC5C-44E2-81DC-17B3C8A17E93@symbi.org> <0cb95e0563ba438981256ea782420a39.NginxMailingListRussian@forum.nginx.org> Message-ID: <273D2684-EEFC-4590-9879-91427FBE7A28@symbi.org> > On Jul 27, 2016, at 11:55 AM, rurik wrote: > > Подскажите а будет ли работать данный способ для поисковиков? произойдет ли > редирект с /app/555 на /#app/555 Судя по таким урлам, там у вас какой-нибудь angularjs или подобный SPA-фреймворк. Гугл уже, в целом, умеет индексировать JS: https://webmasters.googleblog.com/2015/10/deprecating-our-ajax-crawling-scheme.html Для остальных поисковиков (а, возможно, и для гугла тоже - он пока что не всегда хорошо справляется с JS) лучше давать sitemap без хешей и прикрутить какой-нибудь https://prerender.io/ А вообще тут это оффтопик. From mdounin на mdounin.ru Wed Jul 27 18:23:46 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 27 Jul 2016 21:23:46 +0300 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: <0d53abfe374220b3417f698776290862.NginxMailingListRussian@forum.nginx.org> References: <20160727173229.GL57459@mdounin.ru> <0d53abfe374220b3417f698776290862.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160727182346.GM57459@mdounin.ru> Hello! On Wed, Jul 27, 2016 at 01:40:47PM -0400, iotch wrote: > nginx.conf выглядит так: > > user nginx; > worker_processes 2; > error_log /var/log/nginx/error.log warn; > pid /var/run/nginx.pid; > events { > worker_connections 1024; > } > http { > default_type application/octet-stream; > include /etc/nginx/mime.types; > sendfile on; > keepalive_timeout 65; > include /etc/nginx/conf.d/*.conf; > push_stream_shared_memory_size 32m; > } При таком конфиге сообщений уровня info быть не должно. Нюанс: если вы перегружаете конфигурацию, то при чтении новой конфигурации логгирование будет в ранее открытый лог, с его уровнем логгирования. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Wed Jul 27 18:45:46 2016 From: nginx-forum на forum.nginx.org (iotch) Date: Wed, 27 Jul 2016 14:45:46 -0400 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: <20160727182346.GM57459@mdounin.ru> References: <20160727182346.GM57459@mdounin.ru> Message-ID: <453e06876a515a8bd6bbd2c59780dc95.NginxMailingListRussian@forum.nginx.org> Это сообщение пишется при старте (systemctl start nginx). Не могли бы вы подсказать, в чем может быть ошибка в этом случае?: https://github.com/wandenberg/nginx-push-stream-module/blob/master/src/ngx_http_push_stream_module_setup.c#L925 Спасибо! Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268561,268573#msg-268573 From mdounin на mdounin.ru Thu Jul 28 00:12:53 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 28 Jul 2016 03:12:53 +0300 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: <453e06876a515a8bd6bbd2c59780dc95.NginxMailingListRussian@forum.nginx.org> References: <20160727182346.GM57459@mdounin.ru> <453e06876a515a8bd6bbd2c59780dc95.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160728001252.GN57459@mdounin.ru> Hello! On Wed, Jul 27, 2016 at 02:45:46PM -0400, iotch wrote: > Это сообщение пишется при старте (systemctl start nginx). > Не могли бы вы подсказать, в чем может быть ошибка в этом случае?: На старте уровень логгирования - notice, и это не меняется. Если у вас он другой и сообщения уровня info логгируются - вероятно, вам подсунули поддельный nginx. Настоящий можно скачать тут: http://nginx.org/ru/download.html > https://github.com/wandenberg/nginx-push-stream-module/blob/master/src/ngx_http_push_stream_module_setup.c#L925 Не поленился и собрал - всё работает ровно так, как и должно, соответствующее сообщение возникает только при reload'и и только в случае, если в предыдущей конфигурации был указан уровень логгирования info. (Хотя, конечно, в исходники этого модуля лучше не заглядывать, даже банальнейший config вызывает острое желание как-то оградить окружающий мир от людей, которые программируют так.) -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Jul 28 08:37:17 2016 From: nginx-forum на forum.nginx.org (iotch) Date: Thu, 28 Jul 2016 04:37:17 -0400 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: <20160728001252.GN57459@mdounin.ru> References: <20160728001252.GN57459@mdounin.ru> Message-ID: <1200cf2c07c93f3ee78d6a9c5b5b78af.NginxMailingListRussian@forum.nginx.org> Это действительно странно. Вчера установлен чистый nginx c http://nginx.org/download/nginx-1.11.3.tar.gz Могут ли на глобальное значение error_log влиять значения, указанные для каждого сервера? У нас в конфигах, конечно, есть еще и другие директивы error_log, но все они указаны для конкретных серверов. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268561,268589#msg-268589 From nginx-forum на forum.nginx.org Thu Jul 28 10:44:52 2016 From: nginx-forum на forum.nginx.org (lllsergeyv) Date: Thu, 28 Jul 2016 06:44:52 -0400 Subject: =?UTF-8?B?SFRUUFMg0L7RgtC00LDQstCw0YLRjCA0NDQg0LIg0YHQtdC60YbQuNC4IGRlZmF1?= =?UTF-8?B?bHQ=?= Message-ID: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> Есть сервер, который обслуживает на одном ip несколько сайтов(a,b,c,d). Некоторые из них должны работать через https(a,b), остальные(c,d) должны быть недоступны через https. Попробовал добавить в секцию default return 444, но в этом случае браузер начинает сначала устанавливать ssl сессию, в результате получаем ошибку сертификата. Можно обрывать запрос сразу как только обработчик доходит до секции default, не дожидаясь установки ssl сессии? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268592,268592#msg-268592 From andrey на kopeyko.ru Thu Jul 28 10:55:07 2016 From: andrey на kopeyko.ru (Andrey Kopeyko) Date: Thu, 28 Jul 2016 13:55:07 +0300 (MSK) Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> References: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> Message-ID: On Thu, 28 Jul 2016, lllsergeyv wrote: > Есть сервер, который обслуживает на одном ip несколько сайтов(a,b,c,d). > Некоторые из них должны работать через https(a,b), остальные(c,d) должны > быть недоступны через https. Попробовал добавить в секцию default return > 444, но в этом случае браузер начинает сначала устанавливать ssl сессию, в > результате получаем ошибку сертификата. Можно обрывать запрос сразу как > только обработчик доходит до секции default, не дожидаясь установки ssl > сессии? Добрый день! У вас неверное представление о работе HTTPS. Работает он так - сперва полностью устанавливается SSL-сессия (да, при её handshake используется сертификат из того или иного блока server), и лишь затем начинают работать обработчики в конкретном server. Как вы хотите - так не бывает. -- Best regards, Andrey Kopeyko From mdounin на mdounin.ru Thu Jul 28 11:25:50 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 28 Jul 2016 14:25:50 +0300 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: <1200cf2c07c93f3ee78d6a9c5b5b78af.NginxMailingListRussian@forum.nginx.org> References: <20160728001252.GN57459@mdounin.ru> <1200cf2c07c93f3ee78d6a9c5b5b78af.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160728112550.GO57459@mdounin.ru> Hello! On Thu, Jul 28, 2016 at 04:37:17AM -0400, iotch wrote: > Это действительно странно. Вчера установлен чистый nginx c > http://nginx.org/download/nginx-1.11.3.tar.gz И - с ним та же самая картина, или проблемы нет? > Могут ли на глобальное значение error_log влиять значения, указанные для > каждого сервера? У нас в конфигах, конечно, есть еще и другие директивы > error_log, но все они указаны для конкретных серверов. Нет, не могут. Но проверить, казалось бы, тривиально. Скорее всего вы запутались в конфигах и/или установленных nginx'ах. Стоит начать с изучения того, что именно вы запускаете и с какой конфигурацией. Хорошая отправная точка - вывод "nginx -V", а равно "which -a nginx". И запускать стоит явно руками, чтобы не оказалось, что nginx берётся из одного места, а systemd пытается запустить его из совсем другого. Отмечу, что в исходниках nginx'а никаких скриптов запуска и описаний сервисов не идёт, и если вы запускаете nginx с помощью systemctl - вы, с высокой вероятностью, запускаете не то, что собрали/установили с nginx.org, а то, что до этого было в системе. Да и конфиг по умолчанию - в /usr/local/nginx/conf/, а не в /etc/nginx/. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Jul 28 11:31:48 2016 From: nginx-forum на forum.nginx.org (lllsergeyv) Date: Thu, 28 Jul 2016 07:31:48 -0400 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: References: Message-ID: <1e1ad80342a66769a2cc8e41e1d258f9.NginxMailingListRussian@forum.nginx.org> Как можно выйти из данной ситуации? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268592,268595#msg-268595 From mdounin на mdounin.ru Thu Jul 28 11:37:53 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 28 Jul 2016 14:37:53 +0300 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> References: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160728113753.GP57459@mdounin.ru> Hello! On Thu, Jul 28, 2016 at 06:44:52AM -0400, lllsergeyv wrote: > Есть сервер, который обслуживает на одном ip несколько сайтов(a,b,c,d). > Некоторые из них должны работать через https(a,b), остальные(c,d) должны > быть недоступны через https. Попробовал добавить в секцию default return > 444, но в этом случае браузер начинает сначала устанавливать ssl сессию, в > результате получаем ошибку сертификата. Можно обрывать запрос сразу как > только обработчик доходит до секции default, не дожидаясь установки ssl > сессии? Каких-либо штатных директив для такого поведения нет, и даже есть тикет о том, чтобы такое сделать: https://trac.nginx.org/nginx/ticket/195 Но есть простой workaround: там, где соединения обрабатывать не надо, прописать "ssl_ciphers aNULL": server { listen 443 ssl; server_name bbb.example.com; ssl_ciphers aNULL; ssl_certificate /path/to/dummy.crt; ssl_certificate_key /path/to/dummy.key; return 444; } (https://trac.nginx.org/nginx/ticket/195#comment:7) -- Maxim Dounin http://nginx.org/ From mdounin на mdounin.ru Thu Jul 28 11:45:01 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 28 Jul 2016 14:45:01 +0300 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: References: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160728114501.GQ57459@mdounin.ru> Hello! On Thu, Jul 28, 2016 at 01:55:07PM +0300, Andrey Kopeyko wrote: > On Thu, 28 Jul 2016, lllsergeyv wrote: > > >Есть сервер, который обслуживает на одном ip несколько сайтов(a,b,c,d). > >Некоторые из них должны работать через https(a,b), остальные(c,d) должны > >быть недоступны через https. Попробовал добавить в секцию default return > >444, но в этом случае браузер начинает сначала устанавливать ssl сессию, в > >результате получаем ошибку сертификата. Можно обрывать запрос сразу как > >только обработчик доходит до секции default, не дожидаясь установки ssl > >сессии? > > Добрый день! > > У вас неверное представление о работе HTTPS. > > Работает он так - сперва полностью устанавливается SSL-сессия (да, при её > handshake используется сертификат из того или иного блока server), и лишь > затем начинают работать обработчики в конкретном server. > > Как вы хотите - так не бывает. Бывает. В принципе в callback'е по SNI можно и просто соединение закрыть, но это программировать надо. А прямо сейчас можно указать "ssl_ciphers aNULL;" в нужном блоке server{}, эффект будет тот же. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Jul 28 12:03:48 2016 From: nginx-forum на forum.nginx.org (lllsergeyv) Date: Thu, 28 Jul 2016 08:03:48 -0400 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <20160728114501.GQ57459@mdounin.ru> References: <20160728114501.GQ57459@mdounin.ru> Message-ID: <2d6c6c8af4dc059b988e58fa8d455454.NginxMailingListRussian@forum.nginx.org> SNI уже работает? по нему есть документация? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268592,268598#msg-268598 From andrey на kopeyko.ru Thu Jul 28 12:04:45 2016 From: andrey на kopeyko.ru (Andrey Kopeyko) Date: Thu, 28 Jul 2016 15:04:45 +0300 (MSK) Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <20160728114501.GQ57459@mdounin.ru> References: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> <20160728114501.GQ57459@mdounin.ru> Message-ID: On Thu, 28 Jul 2016, Maxim Dounin wrote: > On Thu, Jul 28, 2016 at 01:55:07PM +0300, Andrey Kopeyko wrote: > >> Как вы хотите - так не бывает. > > Бывает. В принципе в callback'е по SNI можно и просто соединение > закрыть, но это программировать надо. Макс, вот это я и подразумевал, говоря "так не бывает" - с существующим кодом такого не бывает. > А прямо сейчас можно > указать "ssl_ciphers aNULL;" в нужном блоке server{}, эффект будет > тот же. А вот такого хака я не знал. ;-) -- Best regards, Andrey Kopeyko From mdounin на mdounin.ru Thu Jul 28 12:19:50 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 28 Jul 2016 15:19:50 +0300 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: References: <86505bb578b7319f41aaafeb1695f0e8.NginxMailingListRussian@forum.nginx.org> <20160728114501.GQ57459@mdounin.ru> Message-ID: <20160728121950.GR57459@mdounin.ru> Hello! On Thu, Jul 28, 2016 at 03:04:45PM +0300, Andrey Kopeyko wrote: > On Thu, 28 Jul 2016, Maxim Dounin wrote: > > >On Thu, Jul 28, 2016 at 01:55:07PM +0300, Andrey Kopeyko wrote: > > > >>Как вы хотите - так не бывает. > > > >Бывает. В принципе в callback'е по SNI можно и просто соединение закрыть, > >но это программировать надо. > > Макс, вот это я и подразумевал, говоря "так не бывает" - с существующим > кодом такого не бывает. Ты говорил о работе протокола HTTPS. И тут стоит явно отличать: - не бывает, потому что протокол не предусматривает такой возможности; - не бывает, потому что текущий код не умеет. Ибо с первым ничего поделать нельзя, а второе - кандидат в feature request'ы. > >А прямо сейчас можно указать "ssl_ciphers aNULL;" в нужном блоке server{}, > >эффект будет тот же. > > А вот такого хака я не знал. ;-) Вот теперь живи с этим знанием. ;) -- Maxim Dounin http://nginx.org/ From vbart на nginx.com Thu Jul 28 12:21:22 2016 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Thu, 28 Jul 2016 15:21:22 +0300 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <2d6c6c8af4dc059b988e58fa8d455454.NginxMailingListRussian@forum.nginx.org> References: <20160728114501.GQ57459@mdounin.ru> <2d6c6c8af4dc059b988e58fa8d455454.NginxMailingListRussian@forum.nginx.org> Message-ID: <1887841.zaPN10evCV@vbart-workstation> On Thursday 28 July 2016 08:03:48 lllsergeyv wrote: > SNI уже работает? по нему есть документация? > [..] SNI работает уже 9 лет. http://nginx.org/ru/docs/http/configuring_https_servers.html#sni -- Валентин Бартенев From mdounin на mdounin.ru Thu Jul 28 12:24:56 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 28 Jul 2016 15:24:56 +0300 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <2d6c6c8af4dc059b988e58fa8d455454.NginxMailingListRussian@forum.nginx.org> References: <20160728114501.GQ57459@mdounin.ru> <2d6c6c8af4dc059b988e58fa8d455454.NginxMailingListRussian@forum.nginx.org> Message-ID: <20160728122456.GS57459@mdounin.ru> Hello! On Thu, Jul 28, 2016 at 08:03:48AM -0400, lllsergeyv wrote: > SNI уже работает? по нему есть документация? Вы так говорите, как будто без SNI вообще возможно принимать соединения для нескольких разных SSL-серверов на одном IP-адресе, и без него могла бы возникнуть проблема, которую вы решаете. https://en.wikipedia.org/wiki/Server_Name_Indication -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Jul 28 12:26:00 2016 From: nginx-forum на forum.nginx.org (lllsergeyv) Date: Thu, 28 Jul 2016 08:26:00 -0400 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <1887841.zaPN10evCV@vbart-workstation> References: <1887841.zaPN10evCV@vbart-workstation> Message-ID: <436b6cd2b7f44541829a90bf296ce23e.NginxMailingListRussian@forum.nginx.org> Как им пользоваться? Где должны лежать сертификаты? Ткните носом на пример :) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268592,268602#msg-268602 From nginx-forum на forum.nginx.org Thu Jul 28 12:30:04 2016 From: nginx-forum на forum.nginx.org (lllsergeyv) Date: Thu, 28 Jul 2016 08:30:04 -0400 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <20160728122456.GS57459@mdounin.ru> References: <20160728122456.GS57459@mdounin.ru> Message-ID: "Более общее решение для работы нескольких HTTPS-серверов на одном IP-адресе — расширение Server Name Indication протокола TLS (SNI, RFC 6066), которое позволяет браузеру передать запрашиваемое имя сервера во время SSL handshake, а значит сервер будет знать, какой сертификат ему следует использовать для соединения." Я могу сложить в кучу все сертификаты и сервер в соответствии с сайтом сам возьмет нужный? Сейчас для каждого сайта я создаю секцию server и там прописываю нужный сертификат. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268592,268604#msg-268604 From alex.hha на gmail.com Thu Jul 28 12:31:38 2016 From: alex.hha на gmail.com (Alex Domoradov) Date: Thu, 28 Jul 2016 15:31:38 +0300 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <436b6cd2b7f44541829a90bf296ce23e.NginxMailingListRussian@forum.nginx.org> References: <1887841.zaPN10evCV@vbart-workstation> <436b6cd2b7f44541829a90bf296ce23e.NginxMailingListRussian@forum.nginx.org> Message-ID: > Как им пользоваться? не поверите server { listen 443; server_name site1.example.com; ssl on; ssl_certificate /etc/ssl/nginx/site1.example.com.pem; ssl_certificate_key /etc/ssl/nginx/site1.example.com.key; ssl_dhparam /etc/ssl/nginx/site1.example.com_dh2048.pem; ... } server { listen 443; server_name site2.example.com; ssl on; ssl_certificate /etc/ssl/nginx/site2.example.com.pem; ssl_certificate_key /etc/ssl/nginx/site2.example.com.key; ssl_dhparam /etc/ssl/nginx/site2.example.com_dh2048.pem; ... } > Где должны лежать сертификаты? где захотите 2016-07-28 15:26 GMT+03:00 lllsergeyv : > Как им пользоваться? Где должны лежать сертификаты? Ткните носом на пример > :) > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,268592,268602#msg-268602 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Thu Jul 28 12:36:07 2016 From: nginx-forum на forum.nginx.org (lllsergeyv) Date: Thu, 28 Jul 2016 08:36:07 -0400 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: <20160728114501.GQ57459@mdounin.ru> References: <20160728114501.GQ57459@mdounin.ru> Message-ID: <3c1c83617fefeaeb90c6035fda145400.NginxMailingListRussian@forum.nginx.org> Спасибо. Помогло. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268592,268606#msg-268606 From nginx-forum на forum.nginx.org Thu Jul 28 12:40:42 2016 From: nginx-forum на forum.nginx.org (iotch) Date: Thu, 28 Jul 2016 08:40:42 -0400 Subject: =?UTF-8?B?UmU6IE5naW54INC70L7Qs9C40YDRg9C10YIg0YHQvtC+0LHRidC10L3QuNGPINGD?= =?UTF-8?B?0YDQvtCy0L3RjyBpbmZvINC/0YDQuCDQvNC40L3QuNC80LDQu9GM0L3QvtC8?= =?UTF-8?B?INGD0YDQvtCy0L3QtSB3YXJu?= In-Reply-To: <20160728112550.GO57459@mdounin.ru> References: <20160728112550.GO57459@mdounin.ru> Message-ID: <4317c3b35d413c95c3f757c3f8e081b8.NginxMailingListRussian@forum.nginx.org> Да, с 1.11.3 та же самая картина (точнее, это единственная установленная версия, на других не пробовал). Описать сервис для systemd не составляет труда, как и скомпилировать nginx с нудными модулями и в желаемую директорию. В общем-то проблема меня не беспокоит, я просто решил сообщить о неестественном поведении, возможно так быть не должно. Но если проблема только у меня - пусть будет так, я не против :) В любом случае, спасибо за помощь! Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268561,268607#msg-268607 From mdounin на mdounin.ru Thu Jul 28 12:54:33 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 28 Jul 2016 15:54:33 +0300 Subject: =?UTF-8?B?UmU6IEhUVFBTINC+0YLQtNCw0LLQsNGC0YwgNDQ0INCyINGB0LXQutGG0LjQuCBk?= =?UTF-8?B?ZWZhdWx0?= In-Reply-To: References: <20160728122456.GS57459@mdounin.ru> Message-ID: <20160728125433.GT57459@mdounin.ru> Hello! On Thu, Jul 28, 2016 at 08:30:04AM -0400, lllsergeyv wrote: > "Более общее решение для работы нескольких HTTPS-серверов на одном IP-адресе > — расширение Server Name Indication протокола TLS (SNI, RFC 6066), которое > позволяет браузеру передать запрашиваемое имя сервера во время SSL > handshake, а значит сервер будет знать, какой сертификат ему следует > использовать для соединения." > > Я могу сложить в кучу все сертификаты и сервер в соответствии с сайтом сам > возьмет нужный? Нет. > Сейчас для каждого сайта я создаю секцию server и там > прописываю нужный сертификат. Именно так и надо делать. В соответствии с запрошенным через SNI именем выбирается нужный блок server{}, и оттуда берётся сертификат. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Jul 28 16:30:11 2016 From: nginx-forum на forum.nginx.org (Zaynullin) Date: Thu, 28 Jul 2016 12:30:11 -0400 Subject: =?UTF-8?B?0KHQutCw0YfQutC+0L7QsdGA0LDQt9C90YvQuSDRgNC+0YHRgiDQv9C+0YLRgNC1?= =?UTF-8?B?0LHQu9GP0LXQvNC+0Lkg0L/QsNC80Y/RgtC4INC/0YDQuCDQstC60LvRjtGH?= =?UTF-8?B?0LXQvdC40Lggc2xpY2U=?= Message-ID: Здравствуйте. После включения slice наблюдается скачкообразный рост потребляемой памяти поочередно на нескольких воркерах. Общий объем данных на бэкэнде 1 Tb, средний размер файла примерно 4-5 Gb. При достижении размера cache директории в 6 Gb, объем потребляемой памяти увеличивается примерно на 15 Gb. В дампе памяти воркера по адресу 00007f982bb4d000 видим множество заголовков запросов и ответов между предположительно самими данными. При размере slice 5m рост потребления памяти практически не заметен. В какую сторону копать? Конфигурация nginx: proxy_cache_path /cache/site levels=2:2 keys_zone=site_cache:500m inactive=3d; server { slice 1m; proxy_cache site_cache; proxy_cache_key "$request_uri|$slice_range"; proxy_cache_valid 200 206 1d; proxy_set_header Range $slice_range; proxy_http_version 1.1; # ... } nginx version: nginx/1.11.2 # top PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 10412 www-data 20 0 4320028 2.115g 166348 S 5.3 4.5 1:44.68 nginx: worker process # pmap 10412 10412: nginx: worker process 0000000000400000 1160K r-x-- nginx 0000000000721000 4K r---- nginx 0000000000722000 120K rw--- nginx 0000000000740000 132K rw--- [ anon ] 000000000205a000 132K rw--- [ anon ] 000000000207b000 4K r---- [ anon ] 0000000040131000 128K rw--- [ anon ] 000000004152e000 128K rw--- [ anon ] 0000000041e09000 128K rw--- [ anon ] 00007f982bb4d000 2606804K rw--- [ anon ] 00007f98cad02000 1676K rw--- [ anon ] 00007f98caf07000 1156K rw--- [ anon ] 00007f98cb028000 102400K rw-s- zero (deleted) 00007f98d1428000 102400K rw-s- zero (deleted) 00007f98d7828000 8400K rw--- [ anon ] 00007f98d80b5000 1156K rw--- [ anon ] 00007f98d81d6000 5120K rw-s- zero (deleted) 00007f98d86d6000 20480K rw-s- zero (deleted) 00007f98d9ad6000 512000K rw-s- zero (deleted) 00007f98f8ed6000 102400K rw-s- zero (deleted) 00007f98ff2d6000 102400K rw-s- zero (deleted) 00007f99056d6000 102400K rw-s- zero (deleted) 00007f990bad6000 102400K rw-s- zero (deleted) 00007f9911ed6000 102400K rw-s- zero (deleted) 00007f99182d6000 102400K rw-s- zero (deleted) 00007f991e6d6000 20480K rw-s- zero (deleted) 00007f991fad6000 102400K rw-s- zero (deleted) 00007f9925ed6000 20480K rw-s- zero (deleted) 00007f99272d6000 102400K rw-s- zero (deleted) 00007f992d6d6000 102400K rw-s- zero (deleted) 00007f9933ad6000 102400K rw-s- zero (deleted) 00007f9939ed6000 102400K rw-s- zero (deleted) 00007f99402d6000 20480K rw-s- zero (deleted) 00007f99416d6000 102400K rw-s- zero (deleted) 00007f9947ad6000 10240K rw-s- zero (deleted) 00007f99484d6000 20480K rw-s- zero (deleted) 00007f99498d6000 102400K rw-s- zero (deleted) 00007f994fcd6000 20480K rw-s- zero (deleted) 00007f99510d6000 4096K rw--- [ anon ] 00007f99514d6000 92K r-x-- libresolv-2.19.so 00007f99514ed000 2048K ----- libresolv-2.19.so 00007f99516ed000 4K r---- libresolv-2.19.so 00007f99516ee000 4K rw--- libresolv-2.19.so 00007f99516ef000 8K rw--- [ anon ] 00007f99516f1000 20K r-x-- libnss_dns-2.19.so 00007f99516f6000 2044K ----- libnss_dns-2.19.so 00007f99518f5000 4K r---- libnss_dns-2.19.so 00007f99518f6000 4K rw--- libnss_dns-2.19.so 00007f99518f7000 2048K rw--- [ anon ] 00007f9951b71000 1024K rw--- [ anon ] 00007f9951c71000 44K r-x-- libnss_files-2.19.so 00007f9951c7c000 2044K ----- libnss_files-2.19.so 00007f9951e7b000 4K r---- libnss_files-2.19.so 00007f9951e7c000 4K rw--- libnss_files-2.19.so 00007f9951e7d000 44K r-x-- libnss_nis-2.19.so 00007f9951e88000 2044K ----- libnss_nis-2.19.so 00007f9952087000 4K r---- libnss_nis-2.19.so 00007f9952088000 4K rw--- libnss_nis-2.19.so 00007f9952089000 92K r-x-- libnsl-2.19.so 00007f99520a0000 2044K ----- libnsl-2.19.so 00007f995229f000 4K r---- libnsl-2.19.so 00007f99522a0000 4K rw--- libnsl-2.19.so 00007f99522a1000 8K rw--- [ anon ] 00007f99522a3000 36K r-x-- libnss_compat-2.19.so 00007f99522ac000 2044K ----- libnss_compat-2.19.so 00007f99524ab000 4K r---- libnss_compat-2.19.so 00007f99524ac000 4K rw--- libnss_compat-2.19.so 00007f99524ad000 88K r-x-- libgcc_s.so.1 00007f99524c3000 2044K ----- libgcc_s.so.1 00007f99526c2000 4K rw--- libgcc_s.so.1 00007f99526c3000 1772K r-x-- libc-2.19.so 00007f995287e000 2044K ----- libc-2.19.so 00007f9952a7d000 16K r---- libc-2.19.so 00007f9952a81000 8K rw--- libc-2.19.so 00007f9952a83000 20K rw--- [ anon ] 00007f9952a88000 180K r-x-- libGeoIP.so.1.6.0 00007f9952ab5000 2044K ----- libGeoIP.so.1.6.0 00007f9952cb4000 4K r---- libGeoIP.so.1.6.0 00007f9952cb5000 8K rw--- libGeoIP.so.1.6.0 00007f9952cb7000 96K r-x-- libz.so.1.2.8 00007f9952ccf000 2044K ----- libz.so.1.2.8 00007f9952ece000 4K r---- libz.so.1.2.8 00007f9952ecf000 4K rw--- libz.so.1.2.8 00007f9952ed0000 2220K r-x-- libcrypto.so.1.0.0 00007f99530fb000 2048K ----- libcrypto.so.1.0.0 00007f99532fb000 112K r---- libcrypto.so.1.0.0 00007f9953317000 52K rw--- libcrypto.so.1.0.0 00007f9953324000 16K rw--- [ anon ] 00007f9953328000 376K r-x-- libssl.so.1.0.0 00007f9953386000 2044K ----- libssl.so.1.0.0 00007f9953585000 16K r---- libssl.so.1.0.0 00007f9953589000 28K rw--- libssl.so.1.0.0 00007f9953590000 244K r-x-- libpcre.so.3.13.1 00007f99535cd000 2044K ----- libpcre.so.3.13.1 00007f99537cc000 4K r---- libpcre.so.3.13.1 00007f99537cd000 4K rw--- libpcre.so.3.13.1 00007f99537ce000 432K r-x-- libluajit-5.1.so.2.0.2 00007f995383a000 2048K ----- libluajit-5.1.so.2.0.2 00007f9953a3a000 8K r---- libluajit-5.1.so.2.0.2 00007f9953a3c000 4K rw--- libluajit-5.1.so.2.0.2 00007f9953a3d000 1044K r-x-- libm-2.19.so 00007f9953b42000 2044K ----- libm-2.19.so 00007f9953d41000 4K r---- libm-2.19.so 00007f9953d42000 4K rw--- libm-2.19.so 00007f9953d43000 36K r-x-- libcrypt-2.19.so 00007f9953d4c000 2048K ----- libcrypt-2.19.so 00007f9953f4c000 4K r---- libcrypt-2.19.so 00007f9953f4d000 4K rw--- libcrypt-2.19.so 00007f9953f4e000 184K rw--- [ anon ] 00007f9953f7c000 100K r-x-- libpthread-2.19.so 00007f9953f95000 2044K ----- libpthread-2.19.so 00007f9954194000 4K r---- libpthread-2.19.so 00007f9954195000 4K rw--- libpthread-2.19.so 00007f9954196000 16K rw--- [ anon ] 00007f995419a000 12K r-x-- libdl-2.19.so 00007f995419d000 2044K ----- libdl-2.19.so 00007f995439c000 4K r---- libdl-2.19.so 00007f995439d000 4K rw--- libdl-2.19.so 00007f995439e000 140K r-x-- ld-2.19.so 00007f99544ad000 1052K rw--- [ anon ] 00007f99545bb000 8K rw-s- [aio] (deleted) 00007f99545bd000 4K rw-s- zero (deleted) 00007f99545be000 8K rw--- [ anon ] 00007f99545c0000 4K r---- ld-2.19.so 00007f99545c1000 4K rw--- ld-2.19.so 00007f99545c2000 4K rw--- [ anon ] 00007fff972bf000 132K rw--- [ stack ] 00007fff973e1000 8K r---- [ anon ] 00007fff973e3000 8K r-x-- [ anon ] ffffffffff600000 4K r-x-- [ anon ] total 4860256K Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268615,268615#msg-268615 From vbart на nginx.com Sat Jul 30 11:32:02 2016 From: vbart на nginx.com (Valentin V. Bartenev) Date: Sat, 30 Jul 2016 14:32:02 +0300 Subject: =?UTF-8?B?UmU6INCh0LrQsNGH0LrQvtC+0LHRgNCw0LfQvdGL0Lkg0YDQvtGB0YIg0L/QvtGC?= =?UTF-8?B?0YDQtdCx0LvRj9C10LzQvtC5INC/0LDQvNGP0YLQuCDQv9GA0Lgg0LLQutC7?= =?UTF-8?B?0Y7Rh9C10L3QuNC4IHNsaWNl?= In-Reply-To: References: Message-ID: <7904302.3JZUCIns8y@vbart-laptop> On Thursday 28 July 2016 12:30:11 Zaynullin wrote: > Здравствуйте. > После включения slice наблюдается скачкообразный рост потребляемой памяти > поочередно на нескольких воркерах. > Общий объем данных на бэкэнде 1 Tb, средний размер файла примерно 4-5 Gb. > При достижении размера cache директории в 6 Gb, объем потребляемой памяти > увеличивается примерно на 15 Gb. > В дампе памяти воркера по адресу 00007f982bb4d000 видим множество заголовков > запросов и ответов между предположительно самими данными. > При размере slice 5m рост потребления памяти практически не заметен. > В какую сторону копать? > [..] Процитирую документацию: | Обратите внимание, что слишком низкое значение может привести к излишнему | потреблению памяти и открытию большого количества открытых файловых | дескрипторов. http://nginx.org/ru/docs/http/ngx_http_slice_module.html#slice -- Валентин Бартенев From nginx на mva.name Sun Jul 31 07:51:27 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Sun, 31 Jul 2016 14:51:27 +0700 Subject: =?UTF-8?B?W2J1Zz9dINC/0YDQuCDRg9C60LDQt9Cw0L3QuNC4IHByb3h5X2NhY2hlX3BhdGgg?= =?UTF-8?B?0YEg0LjRgdC/0L7Qu9GM0LfQvtCy0LDQvdC40LXQvCDQtNC10YTQvtC70YI=?= =?UTF-8?B?0L3QvtCz0L4g0L/Rg9GC0Lggbmdpbngg0YDRg9Cz0LDQtdGC0YHRjyDQv9GA?= =?UTF-8?B?0Lgg0L/RgNC+0LLQtdGA0LrQtSDQutC+0L3RhNC40LPQsA==?= Message-ID: <4182368.t21xJOY1Hb@note> Всем привет! Хотелось бы спросить у разработчиков, нашёл ли я баг, или это поведение Just as planned. Итак, дано: 1) Кусок конфига, который участвует в драме: ``` 110 proxy_cache_path /var/lib/nginx/tmp/proxy levels=1:2 keys_zone=proxy_cache:128m; 111 } ``` Номера строк указаны для понимания на что ругается проверка синтаксиса. 2) Если блоков `server{}` внутри `http{}` конфиге нету, то проверка синтаксиса конфига проходит нормально не смотря на ровно тот же контент строки конфига с `proxy_cache_path`. Если же блоки server есть, то наблюдается вот что: ``` $ nginx -t nginx: [emerg] the same path name "/var/lib/nginx/tmp/proxy" used in /etc/ nginx/frontends.d/http:110 and in /etc/nginx/frontends.d/http:111 nginx: configuration file /etc/nginx/nginx.conf test failed ``` 3) При этом, не важно, где находится `proxy_cache_path`: до инклуда вхостов с `server{}` или после. В качстве второго места с дублированием пути синтакс- чекер всегда указывает строку, закрывающую блок `http{}`. 4) если в `proxy_cache_path` указать путь со слешем на конце - всё становится нормально. Но, например, в документации он без слеша. В общем, хотелось бы спросить, баг ли это и как быть :) From basil на vpm.net.ua Sun Jul 31 08:04:57 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Sun, 31 Jul 2016 11:04:57 +0300 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eV9jYWNoZV9w?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <4182368.t21xJOY1Hb@note> References: <4182368.t21xJOY1Hb@note> Message-ID: судя по кускам конфига это вы сами добавили /etc/nginx/frontends.d/http Ну и соответственно надо было это где-то добавить в конфиге. Скорее всего подхватывается какой-то неправильный параметр из других кусков. уберите вот это /etc/nginx/frontends.d/ - не нужно добавлять лишних инклудов, хватает стандартного /etc/nginx/conf.d/ Старайтесь дефолтные конфиги без крайней надобности не трогать, просто в /etc/nginx/conf.d/ добавляете конфиг, название лучше ничинать с 0 - он тогда первым загрузится и прочитается, например 0-gzip.conf gzip on; gzip_min_length 1024; gzip_comp_level 1; gzip_proxied any; gzip_types text/plain text/xml text/css application/x-javascript text/javascript application/json; gzip_buffers 4 64k; 31 июля 2016 г., 10:51 пользователь Vadim A. Misbakh-Soloviov < nginx на mva.name> написал: > Всем привет! > > Хотелось бы спросить у разработчиков, нашёл ли я баг, или это поведение > Just > as planned. > > Итак, дано: > > 1) Кусок конфига, который участвует в драме: > ``` > 110 proxy_cache_path /var/lib/nginx/tmp/proxy levels=1:2 > keys_zone=proxy_cache:128m; > 111 } > ``` > Номера строк указаны для понимания на что ругается проверка синтаксиса. > > 2) Если блоков `server{}` внутри `http{}` конфиге нету, то проверка > синтаксиса > конфига проходит нормально не смотря на ровно тот же контент строки > конфига с > `proxy_cache_path`. > Если же блоки server есть, то наблюдается вот что: > > ``` > $ nginx -t > nginx: [emerg] the same path name "/var/lib/nginx/tmp/proxy" used in /etc/ > nginx/frontends.d/http:110 and in /etc/nginx/frontends.d/http:111 > nginx: configuration file /etc/nginx/nginx.conf test failed > ``` > > 3) При этом, не важно, где находится `proxy_cache_path`: до инклуда > вхостов с > `server{}` или после. В качстве второго места с дублированием пути синтакс- > чекер всегда указывает строку, закрывающую блок `http{}`. > > 4) если в `proxy_cache_path` указать путь со слешем на конце - всё > становится > нормально. Но, например, в документации он без слеша. > > > > В общем, хотелось бы спросить, баг ли это и как быть :) > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx на mva.name Sun Jul 31 08:23:21 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Sun, 31 Jul 2016 15:23:21 +0700 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eV9jYWNoZV9w?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: References: <4182368.t21xJOY1Hb@note> Message-ID: <4906728.yH6lF73RVq@note> В письме от воскресенье, 31 июля 2016 г. 11:04:57 +07 пользователь Vasiliy P. Melnik написал: > судя по кускам конфига это вы сами добавили Совсем забыл явно указать на то, что вышеуказанное вхождение proxy_cache_path — абсолютно единственное в /etc/nginx. И да, у меня нету "дефолтного" conf.d. У меня сформировавшаяся годами своя инфраструктура конфигов, путешествующая с сервера на сервер. Да и даже если брать "дефолтное", устанавливающееся с nginx'ом — там только монолитный nginx.conf и никаких инклудов. Ибо не дебиан. From basil на vpm.net.ua Sun Jul 31 09:30:39 2016 From: basil на vpm.net.ua (Vasiliy P. Melnik) Date: Sun, 31 Jul 2016 12:30:39 +0300 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eV9jYWNoZV9w?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <4906728.yH6lF73RVq@note> References: <4182368.t21xJOY1Hb@note> <4906728.yH6lF73RVq@note> Message-ID: в первую очередь надо конфиги смотреть, например в путь закрался какой-нибудь спецсимвол или еще чего. В 99% процентов случаев проблема вызвана действиями пользователя З.Ы. proxy_cache_path действительно не надо закрывать слешем - что-то где-то лишнее в конфигах ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx на mva.name Sun Jul 31 09:49:06 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Sun, 31 Jul 2016 16:49:06 +0700 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eV9jYWNoZV9w?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: References: <4182368.t21xJOY1Hb@note> <4906728.yH6lF73RVq@note> Message-ID: <11596463.SLKjBnhKz3@note> В письме от воскресенье, 31 июля 2016 г. 12:30:39 +07 пользователь Vasiliy P. Melnik написал: > в первую очередь надо конфиги смотреть, например в путь закрался > какой-нибудь спецсимвол или еще чего. В 99% процентов случаев проблема > вызвана действиями пользователя > > З.Ы. proxy_cache_path действительно не надо закрывать слешем - что-то > где-то лишнее в конфигах Ну, вот, например, даже с этим единственным (точнее, двумя, но они в одном инклуде) `server{}`'ом заинклуженным воспроизводится: ``` server { listen [::]:80 default_server ipv6only=on; listen *:80 default_server; server_name __default__; access_log /var/log/nginx/default/access.nginx.log; error_log /var/log/nginx/default/error.nginx.log; location / { root /srv/web/admin/default; index index.html; } include templates.d/bots; include templates.d/errors; } server { listen [::]:443 default_server ipv6only=on ssl http2 deferred; listen *:443 default_server ssl http2 deferred; #reuseport ssl_certificate /etc/ssl/crt/point.im/crt; ssl_certificate_key /etc/ssl/crt/point.im/key; server_name __default__; access_log /var/log/nginx/default/access.nginx.log; error_log /var/log/nginx/default/error.nginx.log; location / { root /srv/web/admin/default; index index.html; } include templates.d/bots; include templates.d/errors; } ``` templates.d/bots: ``` location ~ /\. { deny all; access_log off; log_not_found off; } location = /favicon.ico { # alias /home/web/errors/media/images/favicon.ico; log_not_found off; access_log off; } location = /robots.txt { allow all; log_not_found off; access_log off; } location ~ \..*/.*\.php$ { return 403; } ``` templates.d/errors: ``` error_page 401 /401; error_page 402 @402; error_page 403 /403; error_page 404 /404; error_page 500 /500; error_page 502 /502; error_page 503 /503; error_page 504 /504; error_page 582 /582; location ~* /(401|403|404|500|502|503|504|582) { internal; allow all; default_type text/html; root /srv/web/admin/default; } location @402 { # internal; allow all; default_type text/html; echo '
HTTP Error 402'; } location ~ ^/errors/(.*) { alias /srv/web/admin/default/media/$1; allow all; access_log off; } ``` From nginx-forum на forum.nginx.org Sun Jul 31 10:13:55 2016 From: nginx-forum на forum.nginx.org (Vasiliy P. Melnik) Date: Sun, 31 Jul 2016 06:13:55 -0400 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <11596463.SLKjBnhKz3@note> References: <11596463.SLKjBnhKz3@note> Message-ID: echo '
HTTP Error 402'; я надеюсь это форум перенос строки сделал? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268648,268653#msg-268653 From nginx на mva.name Sun Jul 31 11:40:43 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Sun, 31 Jul 2016 18:40:43 +0700 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: References: <11596463.SLKjBnhKz3@note> Message-ID: <4233102.7rLojxLUFE@note> В письме от воскресенье, 31 июля 2016 г. 6:13:55 +07 пользователь Vasiliy P. Melnik написал: > echo '
HTTP Error 402 center>'; > > я надеюсь это форум перенос строки сделал? Почтовый клиент, если точнее :) В текстовом формате письма по RFC ограничение на длину строки :) -- wbr, mva From nginx-forum на forum.nginx.org Sun Jul 31 11:53:20 2016 From: nginx-forum на forum.nginx.org (Vasiliy P. Melnik) Date: Sun, 31 Jul 2016 07:53:20 -0400 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <4233102.7rLojxLUFE@note> References: <4233102.7rLojxLUFE@note> Message-ID: конфиги надо смотреть - больше похоже на опечатку какую-то или символ влетел лишний Posted at Nginx Forum: https://forum.nginx.org/read.php?21,268648,268655#msg-268655 From bgx на protva.ru Sun Jul 31 20:22:23 2016 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Sun, 31 Jul 2016 23:22:23 +0300 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <4233102.7rLojxLUFE@note> References: <11596463.SLKjBnhKz3@note> <4233102.7rLojxLUFE@note> Message-ID: <20160731202223.GU28898@sie.protva.ru> On Sun, Jul 31, 2016 at 06:40:43PM +0700, Vadim A. Misbakh-Soloviov wrote: > В письме от воскресенье, 31 июля 2016 г. 6:13:55 +07 пользователь Vasiliy P. > Melnik написал: > > echo '
HTTP Error 402 > center>'; > > > > я надеюсь это форум перенос строки сделал? > > Почтовый клиент, если точнее :) > В текстовом формате письма по RFC ограничение на длину строки :) Угу, в raw. На практике это означает, что если строки тела слишком длинные, то почтовый клиент просто обязан отказаться от варианта 8bit и завернуть тело в какую-нибудь транспортную кодировку, вроде base64, разбив кодированный поток на строки допустимой длины. Да, смайлик замечен, :) известно что некоторые почтовые клиенты грубо ломают строки, но к соблюдению rfc это отношения не имеет. -- Eugene Berdnikov From nginx на mva.name Sun Jul 31 21:00:07 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 01 Aug 2016 04:00:07 +0700 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: References: <4233102.7rLojxLUFE@note> Message-ID: <2907820.sh4YSQf8yP@note> В письме от воскресенье, 31 июля 2016 г. 7:53:20 +07 пользователь Vasiliy P. Melnik написал: > конфиги надо смотреть - больше похоже на опечатку какую-то или символ влетел > лишний Вот, максимально упростил конфиг. Вырезал практически всё. Тем не менее. $ sudo nginx -t; echo "========="; cat -n /etc/nginx/nginx.conf nginx: [emerg] the same path name "/var/lib/nginx/tmp/proxy" used in /etc/ nginx/nginx.conf:4 and in /etc/nginx/nginx.conf:9 nginx: configuration file /etc/nginx/nginx.conf test failed ========= 1 user nginx nginx; 2 worker_processes 1; 3 http { 4 proxy_cache_path /var/lib/nginx/tmp/proxy levels=1:2 keys_zone=proxy_cache:128m; 5 server { 6 listen [::1]; 7 server_name _default_; 8 } 9 } From nginx на mva.name Sun Jul 31 21:02:07 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 01 Aug 2016 04:02:07 +0700 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <20160731202223.GU28898@sie.protva.ru> References: <11596463.SLKjBnhKz3@note> <4233102.7rLojxLUFE@note> <20160731202223.GU28898@sie.protva.ru> Message-ID: <7368953.sxF85seGZI@note> В письме от воскресенье, 31 июля 2016 г. 23:22:23 +07 пользователь Evgeniy Berdnikov написал: > Да, смайлик замечен, :) известно что некоторые почтовые клиенты > грубо ломают строки, но к соблюдению rfc это отношения не имеет. На самом деле, он это делает ещё при написании. И это поведение включается/выключается в настройках (и, вроде, по умолчанию было выключено, хотя точно не помню). С большой долей вероятности я его включал для совместимости с тупыми клиентами, которые наоборот колбасит при "современном" поведении. From nginx на mva.name Sun Jul 31 21:04:14 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 01 Aug 2016 04:04:14 +0700 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <20160731202223.GU28898@sie.protva.ru> References: <11596463.SLKjBnhKz3@note> <4233102.7rLojxLUFE@note> <20160731202223.GU28898@sie.protva.ru> Message-ID: <35091708.GQP1ouhsIK@note> В письме от воскресенье, 31 июля 2016 г. 23:22:23 +07 пользователь Evgeniy Berdnikov написал: > На практике это означает, что если строки тела слишком > длинные, то почтовый клиент просто обязан отказаться от варианта 8bit > и завернуть тело в какую-нибудь транспортную кодировку, вроде base64, > разбив кодированный поток на строки допустимой длины. Кстати, если заглянете в исходники моих писем, то увидите, что именно так он и делает :) From nginx на kinetiksoft.com Sun Jul 31 21:11:49 2016 From: nginx на kinetiksoft.com (=?utf-8?B?0JjQstCw0L0=?=) Date: Mon, 01 Aug 2016 00:11:49 +0300 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <2907820.sh4YSQf8yP@note> References: <4233102.7rLojxLUFE@note> <2907820.sh4YSQf8yP@note> Message-ID: <2574394.8pa1m16KhU@cybernote> Здравствуйте! Кстати, подтверждаю! То же самое. При этом, если добавить в конце пути слэш к /var/lib/nginx/tmp/proxy, так чтоб получилось proxy_cache_path /var/lib/nginx/tmp/proxy/ levels=1:2 keys_zone=proxy_cache:128m; Всё нормально работает. # nginx -V nginx version: nginx/1.10.1 built with OpenSSL 1.0.2h 3 May 2016 TLS SNI support enabled configure arguments: --prefix=/usr --conf-path=/etc/nginx/nginx.conf --error- log-path=/var/log/nginx/error_log --pid-path=/run/nginx.pid --lock- path=/run/lock/nginx.lock --with-cc-opt=-I/usr/include --with-ld-opt=- L/usr/lib64 --http-log-path=/var/log/nginx/access_log --http-client-body-temp-path=/var/lib/nginx/tmp/client --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --with-file-aio --with-http_v2_module --with-ipv6 --with-pcre --with-threads --without-http_memcached_module --without-http_scgi_module --without- http_ssi_module --without-http_upstream_ip_hash_module --without- http_uwsgi_module --with-http_stub_status_module --with-http_realip_module -- add-module=external_module/nginx-upload-progress-module-0.9.1 --add- module=external_module/ngx-fancyindex-0.4.0 --add- module=external_module/naxsi-0.54/naxsi_src --with-http_ssl_module --without- stream_upstream_hash_module --without-stream_upstream_least_conn_module -- without-stream_upstream_zone_module --without-stream_upstream_hash_module -- without-stream_upstream_least_conn_module --without- stream_upstream_zone_module --without-stream_upstream_hash_module --without- stream_upstream_least_conn_module --without-stream_upstream_zone_module -- without-mail_imap_module --without-mail_pop3_module --without-mail_smtp_module --user='nginx --group=nginx' В письме от 1 августа 2016 04:00:07 пользователь Vadim A. Misbakh-Soloviov написал: > В письме от воскресенье, 31 июля 2016 г. 7:53:20 +07 пользователь Vasiliy P. > Melnik написал: > > конфиги надо смотреть - больше похоже на опечатку какую-то или символ > > влетел лишний > > Вот, максимально упростил конфиг. Вырезал практически всё. Тем не менее. > > > $ sudo nginx -t; echo "========="; cat -n /etc/nginx/nginx.conf > nginx: [emerg] the same path name "/var/lib/nginx/tmp/proxy" used in /etc/ > nginx/nginx.conf:4 and in /etc/nginx/nginx.conf:9 > nginx: configuration file /etc/nginx/nginx.conf test failed > ========= > 1 user nginx nginx; > 2 worker_processes 1; > 3 http { > 4 proxy_cache_path /var/lib/nginx/tmp/proxy levels=1:2 > keys_zone=proxy_cache:128m; > 5 server { > 6 listen [::1]; > 7 server_name _default_; > 8 } > 9 } > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx на mva.name Sun Jul 31 21:31:58 2016 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 01 Aug 2016 04:31:58 +0700 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <2574394.8pa1m16KhU@cybernote> References: <4233102.7rLojxLUFE@note> <2907820.sh4YSQf8yP@note> <2574394.8pa1m16KhU@cybernote> Message-ID: <2902439.CNsBgdJ2go@note> В письме от понедельник, 1 августа 2016 г. 0:11:49 +07 пользователь Иван написал: > Здравствуйте! > > Кстати, подтверждаю! То же самое. Я, кстати, даже специально собрал с минимальным набором модулей: $ sudo nginx -V 2>&1| sed '4s@ --@\n-- на g' nginx version: nginx/1.11.3 built with OpenSSL 1.0.2h 3 May 2016 TLS SNI support enabled configure arguments: --prefix=/usr --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --pid-path=/run/nginx.pid --lock-path=/run/lock/nginx.lock --with-cc-opt=-I/usr/include --with-ld-opt=-L/usr/lib64 --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/lib/nginx/tmp/client --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --with-file-aio --with-ipv6 --with-pcre --with-pcre-jit --with-threads --with-http_realip_module --with-http_ssl_module --with-mail --with-mail_ssl_module --without-stream_access_module --without-stream_geo_module --without-stream_limit_conn_module --without-stream_map_module --without-stream_return_module --without-stream_split_clients_module --without-stream_upstream_hash_module --without-stream_upstream_least_conn_module --without-stream_upstream_zone_module --with-stream --with-stream_ssl_module --user=nginx --group=nginx Всё равно воспроизводится :) From mdounin на mdounin.ru Sun Jul 31 23:47:38 2016 From: mdounin на mdounin.ru (Maxim Dounin) Date: Mon, 1 Aug 2016 02:47:38 +0300 Subject: =?UTF-8?B?UmU6IFtidWc/XSDQv9GA0Lgg0YPQutCw0LfQsNC90LjQuCBwcm94eSBjYWNoZSBw?= =?UTF-8?B?YXRoINGBINC40YHQv9C+0LvRjNC30L7QstCw0L3QuNC10Lwg0LTQtdGE0L4=?= =?UTF-8?B?0LvRgtC90L7Qs9C+INC/0YPRgtC4IG5naW54INGA0YPQs9Cw0LXRgtGB0Y8g?= =?UTF-8?B?0L/RgNC4INC/0YDQvtCy0LXRgNC60LUg0LrQvtC90YTQuNCz0LA=?= In-Reply-To: <2907820.sh4YSQf8yP@note> References: <4233102.7rLojxLUFE@note> <2907820.sh4YSQf8yP@note> Message-ID: <20160731234738.GE57459@mdounin.ru> Hello! On Mon, Aug 01, 2016 at 04:00:07AM +0700, Vadim A. Misbakh-Soloviov wrote: > В письме от воскресенье, 31 июля 2016 г. 7:53:20 +07 пользователь Vasiliy P. > Melnik написал: > > конфиги надо смотреть - больше похоже на опечатку какую-то или символ влетел > > лишний > > Вот, максимально упростил конфиг. Вырезал практически всё. Тем не менее. > > > $ sudo nginx -t; echo "========="; cat -n /etc/nginx/nginx.conf > nginx: [emerg] the same path name "/var/lib/nginx/tmp/proxy" used in /etc/ > nginx/nginx.conf:4 and in /etc/nginx/nginx.conf:9 > nginx: configuration file /etc/nginx/nginx.conf test failed > ========= > 1 user nginx nginx; > 2 worker_processes 1; > 3 http { > 4 proxy_cache_path /var/lib/nginx/tmp/proxy levels=1:2 > keys_zone=proxy_cache:128m; > 5 server { > 6 listen [::1]; > 7 server_name _default_; > 8 } > 9 } Судя по --http-proxy-temp-path=/var/lib/nginx/tmp/proxy в параметрах сборки, вы пытаетесь указать в качестве proxy_cache_path тот же путь, что используется в proxy_temp_path. От подобного смешения путей ничего хорошего не произойдёт, а наоборот, с близкой к 100% вероятностью произойдёт плохое. И именно это nginx и пытается сказать, уж как умеет. Что касается номера строки, указывающего на закрывающую скобку, то тут всё просто. Поскольку proxy_temp_path задан по умолчанию, и явно в конфиге не присутствует - то он добавляется после окончания парсинга блока http{}. Текущая строка конфига в этот момент - указывает на закрывающую скобку блока, и именно её и печатает код, выдающий сообщение об ошибке. И, чтобы два раза не вставать: в отсутствии блоков server{} proxy_temp_path не добавляется и конфликта не возникает. -- Maxim Dounin http://nginx.org/