[Sysadmins] настройка nginx

[Sysadmins] настройка nginx

[Slava Dubrovskiy]

Здравствуйте.

Установил nginx как фронтенд к апачу.
Теперь в логе апача IP всегда 127.0.0.1. Я так понимаю надо настроить
real_ip. Добавил в конфиг
           set_real_ip_from   0.0.0.0;
           real_ip_header     X-Real-IP;
И не помогает.
Подскажите, как правильно настроить real_ip в nginx?

ЗЫ. Пока выкрутился правкой конфига апача на предмет формата лога -

LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\"
\"%{User-Agent}i\"" combined
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b"
common                                  │


-- 
WBR,
Dubrovskiy Vyacheslav

Re: [Sysadmins] настройка nginx

[Michael Shigorin]

On Fri, Aug 31, 2007 at 06:53:36PM +0300, Slava Dubrovskiy wrote:
> Установил nginx как фронтенд к апачу.

1/2?

> Теперь в логе апача IP всегда 127.0.0.1. Я так понимаю надо
> настроить real_ip. Добавил в конфиг
>            set_real_ip_from   0.0.0.0;
>            real_ip_header     X-Real-IP;
> И не помогает.

Чего?!

> Подскажите, как правильно настроить real_ip в nginx?

У меня примерно так:

--- nginx.conf
location / {
	proxy_pass http://back.end.ip.addr/;
	proxy_redirect     off;
	proxy_set_header   Host             $host;
	proxy_set_header   X-Real-IP        $remote_addr;
	proxy_set_header   X-Forwarded-For  $remote_addr;
}

--- httpd.conf
Listen back.end.ip.addr

<IfModule mod_realip.c>
        RealIP localhost xfwd
        RealIP back.end.ip.addr xfwd
</IfModule>

NB: к текущему моменту могу рекомендовать такую разброску по
портам:

apache:80
nginx:8080 или что-нить подобное

и снаружи DNAT'ить :80 на :8080.

Зачем?  При этом apache будет в курсе, что его канонический порт
-- :80.  Иначе при каноникализации адреса (например, добавляя
trailing slash к пути, последний компонент которого оказался
каталогом) может получиться некрасиво или даже нехорошо.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] настройка nginx

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1300 bytes --]

Michael Shigorin пишет:
> On Fri, Aug 31, 2007 at 06:53:36PM +0300, Slava Dubrovskiy wrote:
>   
>> Установил nginx как фронтенд к апачу.
>>     
>
> 1/2?
>   
Не понял.
>> Теперь в логе апача IP всегда 127.0.0.1. Я так понимаю надо
>> настроить real_ip. Добавил в конфиг
>>            set_real_ip_from   0.0.0.0;
>>            real_ip_header     X-Real-IP;
>> И не помогает.
>>     
> Чего?!
>> одскажите, как правильно настроить real_ip в nginx?
>>     
>
> У меня примерно так:
>
> --- nginx.conf
> location / {
> 	proxy_pass http://back.end.ip.addr/;
> 	proxy_redirect     off;
> 	proxy_set_header   Host             $host;
> 	proxy_set_header   X-Real-IP        $remote_addr;
> 	proxy_set_header   X-Forwarded-For  $remote_addr;
> }
>   
Такое у меня тоже есть.
> --- httpd.conf
> Listen back.end.ip.addr
>
> <IfModule mod_realip.c>
>         RealIP localhost xfwd
>         RealIP back.end.ip.addr xfwd
> </IfModule>
>   
У меня нет такого модуля в апаче :-(
В cpanel не предусмотрено. А как добавить я еще не  знаю...

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] настройка nginx

[Michael Shigorin]

On Fri, Aug 31, 2007 at 07:23:20PM +0300, Slava Dubrovskiy wrote:
> >> Установил nginx как фронтенд к апачу.
> > 1/2?
> Не понял.

Первому/второму?

> > --- httpd.conf
> > Listen back.end.ip.addr
> >
> > <IfModule mod_realip.c>
> >         RealIP localhost xfwd
> >         RealIP back.end.ip.addr xfwd
> > </IfModule>
> У меня нет такого модуля в апаче :-(

Это в первом, собирается (в пузо) довольно давно --
см. %changelog.

Во втором mod_rpaf, кажется.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] настройка nginx

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 978 bytes --]

Michael Shigorin пишет:
> On Fri, Aug 31, 2007 at 07:23:20PM +0300, Slava Dubrovskiy wrote:
>   
>>>> Установил nginx как фронтенд к апачу.
>>>>         
>>> 1/2?
>>>       
>> Не понял.
>>     
>
> Первому/второму?
>   
Первому
>>> --- httpd.conf
>>> Listen back.end.ip.addr
>>>
>>> <IfModule mod_realip.c>
>>>         RealIP localhost xfwd
>>>         RealIP back.end.ip.addr xfwd
>>> </IfModule>
>>>       
>> У меня нет такого модуля в апаче :-(
>>     
> Это в первом, собирается (в пузо) довольно давно --
> см. %changelog.
>   
Миш, это не альт... :-(

Еще вопрос про SSL.
Хочу также проксировать 443 порт. Апачь слушает на localhost:443. В
nginx нужно ли писать сертификаты и т.д. или можно также как 80?

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] настройка nginx

[Michael Shigorin]

On Fri, Aug 31, 2007 at 07:38:28PM +0300, Slava Dubrovskiy wrote:
> >> У меня нет такого модуля в апаче :-(
> > Это в первом, собирается (в пузо) довольно давно --
> > см. %changelog.
> Миш, это не альт... :-(

Тогда патчить или отказываться от использования nginx как
реверс-прокси.

> Еще вопрос про SSL.  Хочу также проксировать 443 порт.

Тут ничем не помогу... вообще это технически возможно или
только мне вспоминается DIRECT в squid?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] настройка nginx

[Vladimir V. Kamarzin]

>>>>> On 31 Aug 2007 at 22:38 "SD" == Slava Dubrovskiy writes:

 SD> Еще вопрос про SSL.
 SD> Хочу также проксировать 443 порт. Апачь слушает на localhost:443. В
 SD> nginx нужно ли писать сертификаты и т.д. или можно также как 80?

Если в апаче задействован ssl то тут уэ никак его ИМХО не спроксируешь (да и
смвсла нет).

Лично у меня как раз nginx хэндлит ssl, а с бэкендами-апачами общается по
plain http. Т.е. вот так:

    server {
        listen 443;
        server_name xxx.xxx.ru;
        ssl on;
        ssl_certificate /etc/nginx/ssl/xxx.xxx.ru-cert.pem;
        ssl_certificate_key /etc/nginx/ssl/xxx.xxx.ru-key.pem;
        location / {
            proxy_pass http://192.168.203.15/;
            proxy_redirect     off;
            proxy_set_header   Host             $host;
            proxy_set_header   X-Real-IP        $remote_addr;
        }
    }

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] настройка nginx

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1506 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 31 Aug 2007 at 22:38 "SD" == Slava Dubrovskiy writes:
>>>>>>             
>
>  SD> Еще вопрос про SSL.
>  SD> Хочу также проксировать 443 порт. Апачь слушает на localhost:443. В
>  SD> nginx нужно ли писать сертификаты и т.д. или можно также как 80?
>
> Если в апаче задействован ssl то тут уэ никак его ИМХО не спроксируешь (да и
> смвсла нет).
>
> Лично у меня как раз nginx хэндлит ssl, а с бэкендами-апачами общается по
> plain http. Т.е. вот так:
>
>     server {
>         listen 443;
>         server_name xxx.xxx.ru;
>         ssl on;
>         ssl_certificate /etc/nginx/ssl/xxx.xxx.ru-cert.pem;
>         ssl_certificate_key /etc/nginx/ssl/xxx.xxx.ru-key.pem;
>         location / {
>             proxy_pass http://192.168.203.15/;
>             proxy_redirect     off;
>             proxy_set_header   Host             $host;
>             proxy_set_header   X-Real-IP        $remote_addr;
>         }
>     }
>
>   
У меня так не получится, т.к. сертификатами пользователи рулят сами
через cpanel. А она только с апачем умеет работать.
Вообщем пока оставил апачь на 443 порту.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]