Pourquoi est-nginx répondre à tout nom de domaine?

J'ai nginx et en cours d'exécution avec un Rubis/Sinatra application et tout est bien. Cependant, je vais maintenant essayer d'en faire une deuxième application en cours d'exécution à partir du même serveur et j'ai remarqué quelque chose de bizarre. Tout d'abord, voici mon nginx.conf:

pid /tmp/nginx.pid;
error_log /tmp/nginx.error.log;

events {
  worker_connections 1024;
  accept_mutex off;
}

http {
  default_type application/octet-stream;
  access_log /tmp/nginx.access.log combined;

  sendfile on;
  tcp_nopush on;
  tcp_nodelay off;

  gzip on;
  gzip_http_version 1.0;
  gzip_proxied any;
  gzip_min_length 500;
  gzip_disable "MSIE [1-6]\.";
  gzip_types text/plain text/xml text/css
             text/comma-separated-values
             text/javascript application/x-javascript
             application/atom+xml;

  upstream app {
    server unix:/var/www/app/tmp/sockets/unicorn.sock fail_timeout=0;
  }

  server {
    listen 80;
    client_max_body_size 4G;
    server_name FAKE.COM;

    keepalive_timeout 5;

    root /var/www/app/public;

    location /{
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header Host $http_host;
      proxy_redirect off;

      if (!-f $request_filename) {
        proxy_pass http://app;
        break;
      }
    }

    error_page 500 502 503 504 /500.html;
    location = /500.html {
      root /var/www/app/public;
    }
  }
}
                                                          68,0-1        B

Avis comment server_name est fixé à FAKE.COM pourtant le serveur est de répondre à tous les hôtes qui ont frappé le serveur par l'intermédiaire d'autres noms de domaine. Comment puis-je faire de ce serveur en particulier de répondre uniquement aux demandes de FAKE.COM?

le listen fake.com | something.com:80 commande de filtres, pas server_name.

InformationsquelleAutor Martin | 2012-03-22

nginx

183

Le premier bloc de serveur dans la config nginx est la valeur par défaut pour toutes les demandes qui ont frappé le serveur pour lequel il n'existe pas de serveur spécifique du bloc.

Dans votre config, en supposant que votre vrai nom de domaine est REAL.COM lorsqu'un utilisateur tape que dans, il permettra de résoudre à votre serveur, et depuis il n'y a pas de bloc de serveur pour cette configuration, le bloc de serveur pour FAKE.COM d'abord le premier bloc de serveur (seul bloc de serveur dans votre cas), permettra de traiter cette demande.

C'est pourquoi bon Nginx configs ont un serveur spécifique du bloc de paramètres par défaut avant de suivre avec les autres pour des domaines spécifiques.
```
# Default server
server {
    return 404;
}

server {
    server_name domain_1;
    [...]
}

server {
    server_name domain_2;
    [...]
}
```
etc

** EDIT **

Il semble que certains utilisateurs sont un peu confus par cet exemple et pense qu'il est limité à un seul fichier conf etc.

Veuillez noter que le ci-dessus est un exemple simple pour l'OP, pour développer comme requis.

Personnellement, je utiliser des vhost fichiers de conf avec que c'est ainsi (CentOS/RHEL):
```
http {
    [...]
    # Default server
    server {
        return 404;
    }
    # Other servers
    include /etc/nginx/conf.d/*.conf;
}
```
/etc/nginx/conf.d/ contiendra domain_1.conf, domain_2.conf... domain_n.conf qui sera inclus après le bloc de serveur dans les principaux nginx.fichier conf qui sera toujours le premier et sera toujours la valeur par défaut, sauf s'il est annulé avec la default_server directive ailleurs.

L'ordre alphabétique des noms de fichier les fichiers de conf pour les autres serveurs devient inutile dans ce cas.

En outre, cette disposition donne beaucoup de flexibilité en ce qu'il est possible de définir plusieurs valeurs par défaut.

Dans mon cas précis, j'ai Apache écoute sur le Port 8080 sur l'interface interne seulement et je proxy PHP et Perl scripts de Apache.

Cependant, je lance deux applications distinctes que les deux liaisons de retour avec ":8080" dans la sortie html attachés qu'ils détectent qu'Apache n'est pas en cours d'exécution sur le Port standard 80 et essayer de les "aider" à moi.

Cela provoque un problème dans les liens deviennent non valides que Apache ne peut pas être atteint à partir de l'interface externe et les liens doivent pointer sur le Port 80.

- Je résoudre ce problème par la création d'un serveur par défaut pour le Port 8080 pour rediriger les demandes.
```
http {
    [...]
    # Default server block for undefined domains
    server {
        listen 80;
        return 404;
    }
    # Default server block to redirect Port 8080 for all domains
    server {
        listen my.external.ip.addr:8080;
        return 301 http://$host$request_uri;
    }
    # Other servers
    include /etc/nginx/conf.d/*.conf;
}
```
Que rien dans l'ordinaire de serveur bloque l'écoute sur le Port 8080, la redirection du serveur par défaut bloquer de façon transparente, poignées de telles demandes en vertu de sa position dans nginx.conf.

En fait j'en ai quatre de ces blocs de serveurs et c'est une forme simplifiée de cas d'utilisation.
- Nginx exige le respect de la casse-"Serveur" doit être serveur et "Retour" devrait être de retour. Espérons que cela permet d'économiser quelques problèmes lors de la copie de ce code.
- ne fonctionne pas pour moi. après nginx restart toujours de répondre à tous les noms de domaine...
- statique, voir Oleg Neumyvkin réponse - si vous avez plusieurs fichiers de configuration dans sites-available, puis le premier serveur dans le premier fichier par ordre alphabétique par défaut. Je soupçonne que cela pourrait être un problème. Aussi, de nombreuses distributions exécuter un "nginx -t' pour tester la config avant de redémarrer - vous pouvez avoir une erreur empêchant un redémarrage.
- C'est incomplète et ne devrait pas être accepté de répondre. Pour que cela fonctionne, vous devez également avoir à retirer default_server de tout écouter les directives.
- Tout d'abord, les OP n'ont pas de "default_server" dans son problème, l'exemple et la réponse est adaptée aux particularités de cette question. Deuxièmement, pourquoi quelqu'un serait de définir default_server sur un autre emplacement du serveur en suivant les instructions pour effectuer le premier par le serveur par défaut est au delà de moi. En tout cas, si un default_server a été spécifiquement définie, cette Q/r n'est pas ce qui doit être regardé à résoudre les problèmes qu'ils peuvent avoir.
- Il est exact que vous avez tenu compte de la configuration spécifique publié par l'OP. Mais pour une réponse complète de la question posée, je pense qu'il est nécessaire de mentionner la default_server. Il est très possible de lire votre réponse et de ne pas réaliser à quel default_server pourrait interférer avec elle. Il est même plus probable que certaines distributions d'expédition avec default_server définies dans un fichier qui peut ne pas être évidente pour l'utilisateur.
- Permet d'accepter d'être en désaccord sur le point de savoir si une réponse directement et correctement répond à une question doit être accepté ou non en fonction de la façon dont il aborde le cas d'utilisation d'une tierce partie.
- Salut les gars! Je viens de passer deux heures en tirant mes cheveux. Un instant, j'ai ajouter une adresse IP ou un nom d'hôte à la directive listen (écouter 192.168.1.10:80;), nginx répond à aucun nom de serveur. Est-il prévu?
- Vous pourriez générer une nouvelle question en expliquant votre problème en détail à l'aide de la "Poser Une Question" bouton dans le coin supérieur droit de cette page afin d'obtenir une réponse adéquate.
- Il est intéressant de noter qu'en laissant 8080 ouvrez à travers le pare-feu est une faille de sécurité, à moins que vous mettre en œuvre relativement complexe pare-feu / autorisation de l'utilisateur de l'installation. Laissant un haut-numéroté port ouvert signifie que, si la demande est lié à jamais se bloque, un utilisateur non privilégié peut se lier à ce port et de manière transparente proxy trafic destiné au site principal, nabbing e-mails, mots de passe, les Ncf... en plus, bien sûr, en proposant une redirection pour chaque requête unique signifie deux fois l'effort par utilisateur et par deux fois le temps de latence (parce que maintenant c'est deux RTT par demande). Réponse utile sinon, si.
- Notez que l'un des 444 réponse est préféré dans ce cas, comme indiqué ci-dessous par @iTech
InformationsquelleAutor Dayo
56

Vous devez avoir un serveur par défaut pour les fourre-tout, vous pouvez retourner 404 ou mieux de ne pas répondre à tous les (permettra d'économiser de la bande passante) en retournant 444 qui est nginx spécifique de la réponse HTTP qui il suffit de fermer la connexion et renvoie rien
```
server {
    listen       80  default_server;
    server_name  _; # some invalid name that won't match anything
    return       444;
}
```
- cela a fonctionné pour moi.
- A fonctionné pour moi pour nginx 1.8.0. Le server_name _; je n'ai pas dans les versions antérieures pour nginx, mais cela a fonctionné. Maintenant, pour la plus récente de nginx versions, il semble que vous avez besoin de la server_name _;. Merci
- Eu le même problème. cette résolu.
- Résolu. J'ai oublié un point-virgule ;_;
- Pour une raison quelconque, il est de retour 444 pour toutes les demandes. Des indices?
- Grand conseil sur la 444, et à mon avis une bien meilleure solution que de retourner un code d'erreur.
- Il est important de spécifier une clé ou un certificat, d'autre toutes les connexions SSL match et l'échec, comme l'a souligné @AndreyT dans sa réponse ci-dessous.
- Méfiez-vous de cela! Je reçois des comportements bizarres sur 444. Je préfère utiliser un fonctionnaire code de statut HTTP 400.
- N'oubliez pas d'écouter 443, aussi bien pour le ssl (voir @AndreyT la réponse ci-dessous).
InformationsquelleAutor iTech
31

J'ai été incapable de résoudre mon problème avec toutes les autres réponses. J'ai résolu le problème en vérifiant si l'hôte de la correspondance et de retour d'un 403 si elle n'a pas. (J'ai eu quelques aléatoire site web pointant vers mes serveurs web de contenu. Je devine à détourner de recherche de rang)
```
server {
    listen 443;
    server_name example.com;

    if ($host != "example.com") {
        return 403;
    }

    ...
}
```
- fonctionne parfaitement pour moi
- Si est une mauvaise pratique: nginx.com/resources/wiki/start/topics/depth/ifisevil
- Il ya des cas où vous ne peut tout simplement pas éviter l'utilisation d'un si, par exemple, si vous avez besoin de tester une variable qui n'a pas d'équivalent de la directive.
- Littéralement, le troisième ligne de l'article dit que ce cas d'utilisation est d'accord. Je comprends la nécessité d'être prudent, mais il ne faut pas remuer les doigts lors de l'utilisation raisonnable des cas.
InformationsquelleAutor Matt Carrier
26

Il y a quelques façons de spécifier le serveur par défaut.

Première - Spécifier le serveur par défaut en premier sur la liste, si vous gardez vos configurations de serveur dans un fichier de config comme Dayo a montré ci-dessus.

Deuxième moyen (mieux) Plus souple - fournir default_server paramètre pour listen instruction, par exemple:
```
server {
    listen  *:80 default_server;
    root /www/project/public/;
}
```
Plus d'informations ici: Nginx doc /Écouter

De cette façon, plus utile lorsque vous conservez des configurations de serveur dans des fichiers séparés et ne veulent pas le nom de ces fichiers par ordre alphabétique.
- Cela devrait être la bonne réponse. L'on a accepté la réponse est trompeuse. Simplement en ajoutant un autre serveur pour la config ne va pas résoudre le problème si un autre serveur est configuré comme serveur par défaut.
- il n'y a aucune raison pour que la condition ne peut pas répondre de travail avec de multiples séparées vhost fichiers. Aussi, avec cela, je sais que mon serveur par défaut est toujours dans les principaux nginx.fichier conf et n'ont pas de souvenir de l'un de mes grand nombre de fichiers vhost contient cette.
- N'oubliez pas d'écouter 443, aussi bien pour le ssl (voir @AndreyT la réponse ci-dessous).
InformationsquelleAutor Pavel
15

Pour répondre à votre question - nginx prend le premier serveur si il n'y a pas de match. Voir la documentation:

Si sa valeur ne correspond à aucun nom de serveur, ou de la demande n'est pas
contenir ce champ d'en-tête à tous, alors nginx acheminera la demande à
le serveur par défaut pour ce port. Dans la configuration ci-dessus, le
serveur par défaut est la première...

Maintenant, si vous voulez avoir un défaut fourre-tout serveur qui, par exemple, répond avec 404 à toutes les demandes, alors voici comment faire:
```
server {
    listen 80 default_server;
    listen 443 ssl default_server;
    server_name _;
    ssl_certificate <path to cert>
    ssl_certificate_key <path to key>
    return 404;
}
```
Notez que vous devez spécifier le certificat/clé (qui peut être auto-signé), sinon toutes les connexions SSL échouera comme nginx va essayer d'accepter la connexion à l'aide de cette default_server et de ne pas trouver cert/clé.
- Je n'ai aucune idée de pourquoi cette réponse est si loin sur la liste. C'est le seul qui répond à la question sans se laisser distraire par des choses brillantes le long du chemin.
- Cela m'a aidé à résoudre un problème où j'ai été essayer une redirection à partir du non-www www que j'ai eu mon certificat ssl dans cette redirection route autrement, c'est a essayer d'attraper mon défaut ssl cert, qui était un domaine différent.
- Cela semble être la meilleure réponse pour la plupart des configurations... ne sais pas qui est à l'aide de nginx sans SSL ces jours-ci, mais le fait qu'il est le seul qui couvre le protocole SSL est extrêmement révélateur.
InformationsquelleAutor AndreyT
8

Peu de commentaires, de répondre:

si vous avez plusieurs hôtes virtuels sur plusieurs IPs dans plusieurs fichiers de configuration dans sites-available/, que "par défaut" domaine de la propriété intellectuelle seront prises à partir du premier fichier par ordre alphabétique.

Et Pavel dit, il est "default_server argument de" la pour "écouter" la directive http://nginx.org/en/docs/http/ngx_http_core_module.html#listen

InformationsquelleAutor Oleg Neumyvakin

Vous devez vous connecter pour publier un commentaire.

** EDIT **

EDIT