Jump to content

shrederoff

Пользователи
  1. 1. настройка Nginx proxy manager для получения реального ип клиента(Тут мы кастрируем все подсети CL и передаем в заголовке реальный ип клиента): set_real_ip_from 2400:cb00::/32; set_real_ip_from 2606:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; set_real_ip_from 2a06:98c0::/29; set_real_ip_from 2c0f:f248::/32; set_real_ip_from 173.245.48.0/20; set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 108.162.192.0/18; set_real_ip_from 190.93.240.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; set_real_ip_from 162.158.0.0/15; set_real_ip_from 104.16.0.0/13; set_real_ip_from 104.24.0.0/14; set_real_ip_from 172.64.0.0/13; set_real_ip_from 131.0.72.0/22; set_real_ip_from 10.10.1.0/24; set_real_ip_from 10.10.0.0/24; real_ip_header X-Forwarded-For; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_connect_timeout 3600s; proxy_send_timeout 3600s; proxy_read_timeout 3600s; 2.Ставим nginx на тачку с форумом и делаем самоподписные сертификаты чтобы между локальными машинами где стоит сервер проксирования и веб сервер трафик был защищен(выполняем команду в паке с сертами не надо в корне сервера хранить хлам /etc/nginx/ssl (Если нет создаем)): sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout site.key -out site.crt 3. Сам конфиг nginx: server { listen 443 ssl http2; server_name forum.site.ru; #Тут указываем сайт root /var/www/forum.site.ru/; #Тут каталог с форумом index index.php index.html index.htm; set_real_ip_from 10.10.1.15; #Тут указываем ип сервера проксирования set_real_ip_from 10.10.1.66; #Тут указываем ип сервера с форумом real_ip_header X-Forwarded-For; real_ip_recursive on; client_max_body_size 100M; ssl_certificate /etc/nginx/ssl/site.crt; # Путь до серта ssl_certificate_key /etc/nginx/ssl/site.key; # Путь до ключа ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; location /nginx_status { # этот блок используется для мониторинга zabbix если не нужен можете убрать stub_status on; allow 10.10.1.0/24; deny all; } location "\.(js|css|jpeg|jpg|gif|png|ico|map|webp)(\?|$)" { try_files $uri /404error.php$is_args$args; } location / { try_files $uri $uri/ /index.php?$args; proxy_read_timeout 3600; proxy_connect_timeout 3600; proxy_send_timeout 3600; } location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/var/run/php/php8.1-fpm.sock; # Adjust PHP version and path if necessary fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; fastcgi_read_timeout 3600; } location ~ /\.ht { deny all; } }
  2. cloudflare -> nginx proxy manager -> nginx(обратный прокси) -> forum если мы уберем cf и NPM находясь сразу за обратным nginx все равно админпанель редиректит, суть в том что мне нужен нормальный конфиг nginx для этого а не пытаться мне доказывать за сертификаты с ними я работать умею. Внутри локалки у меня 25 серверов на разных виртуалках чтобы гонять трафик между ними я использую сертификаты выданные моим центром сертификации чтобы они были доверенными внутри локалки Я именно поэтому и прошу полностью готовый конфиг nginx у тех у кого он есть, который не занимается редиректами, другие советы не особо будут полезны.
  3. Самое основное просьба кидать все что знаете что хотите добавить на мониторинг буду дополнять, не оставляйте без внимания если знаете что еще можно мониторить буду допилилвать. zbx_export_templates.yaml Пока что мониторинг работает для форума с nginx если кому-то будет прям гореть смогу apache допихнуть туда, но самое основное как можно больше метрик собирать с форума как минимум по тому что в zabbix вы можете подключить уведомления и если вы мне подскажите хороший способ для распознавания спама я добавлю это на мониторинг и сделаю триггер так в случае если вам будут гадить спамом на форум сработает триггер и телегу прилетит уведомление пока что мониторим добавление нового топика добавление нового форума регистрацию пользователя текущую версию форума так же кол-во загруженных файлов на все это уже висит триггер при изменение числа прилетает уведомления по любому их пунктов и все метрики nginx собираем
  4. Смотри мне связь с cloudflare абсолютно не важна ибо у меня выдачей сертификатов занимается обратный nginx proxy (nginx proxy manager) в одну сторону 2 шлюза и cloudflare в другую сторону виртуалка с nginx + php_fpm + ips forum ну я по приколу выдал самоподписный сертификат чтобы внутри локалки трафик был защищен, но я не дурачок вплане http https разницу понимаю и уже давно это проверил у меня везде https висит, он по какой-то причине вот пример даю если вхожу под впн то он меня пускает если со своего ипшника то он редиректит вот какая фигня выкладываю конфиг nginx: server { listen 443 ssl; server_name forum.unistalker.ru; root /var/www/forum.unistalker.ru/; index index.php index.html index.htm; set_real_ip_from 10.10.1.15; set_real_ip_from 10.10.1.66; real_ip_header X-Forwarded-For; real_ip_recursive on; client_max_body_size 100M; ssl_certificate /etc/nginx/ssl/forum.unistalker.ru.crt; ssl_certificate_key /etc/nginx/ssl/forum.unistalker.ru.key; location /nginx_status { stub_status on; allow 10.10.1.0/24; deny all; } location ~ "\.(js|css|jpeg|jpg|gif|png|ico|map|webp)(\?|$)" { try_files $uri /404error.php$is_args$args; } location / { try_files $uri $uri/ /index.php$is_args$args; } location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/var/run/php/php8.1-fpm.sock; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } location ~ /\.ht { deny all; } }
  5. Может я гуглить не научился ноо, я очень прошу дайте адекватный конфиг nginx для форума у меня вроде все работает как надо ипшники получаю сквозь nginx proxy manager и cloudflare но нихрена не могу попасть в админку со своего ип как только подрубаю vpn все нормально а когда пытаюсь войти без него меня постоянно редиректит error=&ref= и я не пойму как это исправить чтобы адинка не пыталась редиректить. Взамен за помощь выложу zabbix шаблон для мониторинга ips.