Nginx proxy_pass sempre enviando para [:: 1]

Navegue suas respostas
1

Estou tendo problemas com o redirecionamento do Nginx para o gunicorn. Estou usando proxy_pass para redirecionar para https://127.0.0.1:5000 e, no entanto, o redirecionamento está sendo enviado para https://[::1]:5000 .

Aqui está o meu próprio arquivo .conf , que está incluído em nginx.conf : 

server {
    listen 80;
    server_name mydomain.no www.mydomain.no myotherdomain.no;

    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl;
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
    server_name mydomain.no www.mydomain.no myotherdomain.no;
    ssl_certificate /path/to/chain;
    ssl_certificate_key /path/to/private/key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!MD5;

    root /var/www/html/;
    index index.html;
    charset UTF-8;

    location /api {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $http_host;
            proxy_pass https://127.0.0.1:5000;
    }
}

Aqui está o meu arquivo nginx.conf : 

user  django django;
worker_processes  1;

error_log  /path/to/error.log warn;
pid        /path/to/nginx.pid;

events {
worker_connections  1024;
}

http {
include       /path/to/mime.types;
default_type  application/octet-stream;

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';

access_log  /path/to/access.log  main;

sendfile        on;

keepalive_timeout  65;

include /path/to/conf.d/*.conf;
}

O último include é o que inclui meu arquivo .conf, e é o único arquivo no diretório conf.d (eu verifiquei arquivos ocultos também).

Quando comecei hoje, o proxy_pass foi definido como localhost , mas recebi um 502 quando tentei me conectar a mydomain.no/api/door . A primeira coisa que fiz foi verificar se mydomain.no:5000/api/door funcionava, e de fato funcionou. Assim, fui verificar error.log . Lá encontrei este erro: 

2016/02/06 06:35:23 [error] 14280#0: *18082 connect() failed (111: Connection refused)
while connecting to upstream, client: nnn.nnn.nnn.nnn, server: mydomain.no,
request: "GET /api/door HTTP/1.1", upstream: "https://[::1]:5000/api/door", host:
"mydomain.no", referrer: "https://mydomain.no/"

Como você pode ver, o Nginx está redirecionando para o host local IPv6, por algum motivo. Então tentei alterar o localhost para um IPv4 explícito com 127.0.0.1 , mas ainda recebi o mesmo erro exato.

Para fornecer o máximo possível de informações relevantes, aqui está meu nginx -V (formatado para legibilidade): 

nginx version: nginx/1.6.3
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-4) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx 
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log 
--http-log-path=/var/log/nginx/access.log 
--http-client-body-temp-path=/var/lib/nginx/tmp/client_body
--http-proxy-temp-path=/var/lib/nginx/tmp/proxy
--http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi
--http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi
--http-scgi-temp-path=/var/lib/nginx/tmp/scgi --pid-path=/run/nginx.pid
--lock-path=/run/lock/subsys/nginx --user=nginx --group=nginx
--with-file-aio --with-ipv6 --with-http_ssl_module
--with-http_spdy_module --with-http_realip_module
--with-http_addition_module --with-http_xslt_module
--with-http_image_filter_module --with-http_geoip_module
--with-http_sub_module --with-http_dav_module --with-http_flv_module
--with-http_mp4_module --with-http_gunzip_module
--with-http_gzip_static_module --with-http_random_index_module
--with-http_secure_link_module --with-http_degradation_module
--with-http_stub_status_module --with-http_perl_module --with-mail
--with-mail_ssl_module --with-pcre --with-pcre-jit
--with-google_perftools_module --with-debug --with-cc-opt='-O2 -g -pipe
-Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong
--param=ssp-buffer-size=4 -grecord-gcc-switches 
-specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic'
--with-ld-opt='-Wl,-z,relro -specs=/usr/lib/rpm/redhat/redhat-hardened-ld -Wl,-E'

Eu tentei mudar com as configurações IPv6 da minha máquina, mesmo desativando o IPv6 para todas as minhas interfaces de rede (incluindo locais), mas nada teve qualquer efeito. Eu, portanto, me volto para sua ajuda. O que está fazendo com que o proxy_pass seja sempre IPv6?

    
por Andreas F. 06.02.2016 / 15:05

1 resposta

2

Acontece que esse problema foi causado pela maneira como o Gunicorn foi criado. Fui informada pelos meus colegas que eles tinham configurado com criptografia TLS, mas após uma inspeção mais próxima, não estava usando nenhuma criptografia. O [::1] no erro provavelmente foi coberto pelo Nginx voltando ao IPv6 depois de falhar em uma conexão IPv4.

A simples alteração do proxy_pass de https para http corrigiu meu problema, mantendo a criptografia, pois o salto de Nginx para Gunicorn é interno. Eu também mudei o Gunicorn para aceitar apenas conexões locais, já que ele só será acessado através do proxy Nginx.

    
por 06.02.2016 / 17:12

Tags

nginx não armazena em cache o site wordpress Exclua todos os arquivos que contenham uma string & seja um tamanho específico em Powershell