Jump to content

Связка Nginx reverse proxy + Nginx proxy Manager + cloudflare + DNS сервер в виде (ms 2019 не обязельно но по красоте)

Featured Replies

Posted
comment_208057

1. настройка Nginx proxy manager для получения реального ип клиента(Тут мы кастрируем все подсети CL и передаем в заголовке реальный ип клиента):
 

set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2a06:98c0::/29;
set_real_ip_from 2c0f:f248::/32;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 104.16.0.0/13;
set_real_ip_from 104.24.0.0/14;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 10.10.1.0/24;
set_real_ip_from 10.10.0.0/24;
real_ip_header X-Forwarded-For;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 3600s;
proxy_send_timeout 3600s;
proxy_read_timeout 3600s;


2.Ставим nginx на тачку с форумом и делаем самоподписные сертификаты чтобы между локальными машинами где стоит сервер проксирования и веб сервер трафик был защищен(выполняем команду в паке с сертами не надо в корне сервера хранить хлам /etc/nginx/ssl (Если нет создаем)):

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout site.key -out site.crt 

 

3. Сам конфиг nginx:
server {
    listen 443 ssl http2;
    server_name forum.site.ru; #Тут указываем сайт

    root /var/www/forum.site.ru/; #Тут каталог с форумом
    index index.php index.html index.htm;

    set_real_ip_from 10.10.1.15; #Тут указываем ип сервера проксирования
    set_real_ip_from 10.10.1.66; #Тут указываем ип сервера с форумом
    real_ip_header X-Forwarded-For;
    real_ip_recursive on;

    client_max_body_size 100M;

    ssl_certificate /etc/nginx/ssl/site.crt; # Путь до серта
    ssl_certificate_key /etc/nginx/ssl/site.key; # Путь до ключа

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;

    location /nginx_status { # этот блок используется для мониторинга zabbix если не нужен можете убрать
        stub_status on;
        allow 10.10.1.0/24;
        deny all;
    }

    location "\.(js|css|jpeg|jpg|gif|png|ico|map|webp)(\?|$)" {
        try_files $uri /404error.php$is_args$args;
    }

    location / {
        try_files $uri $uri/ /index.php?$args;
        proxy_read_timeout 3600;
        proxy_connect_timeout 3600;
        proxy_send_timeout 3600;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php8.1-fpm.sock; # Adjust PHP version and path if necessary
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
        fastcgi_read_timeout 3600;
    }

    location ~ /\.ht {
        deny all;
    }
}

 

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.


Guest
Ответить в этой теме...

Последние посетители 0

  • No registered users viewing this page.