Estou lidando com esse cenário há algum tempo e não consigo encontrar o erro ou a configuração que me leva a isso: tenho um domínio example.com e vários subdomínios (app.example.com, test.example.com etc.) As portas 80 e 443 estão apontando para o Nginx servido por uma VM (IP 10.10.10.10). Também tenho uma VM com Windows Server servindo as portas IIS 80 e 443 (este servidor web example.com/_/login?returnurl= funciona bem se uma rota for a porta do roteador para esta VM (todas essas VMs estão em uma infraestrutura em nuvem), o IIS está funcionando bem.
Por outro lado, tenho um aplicativo web, trabalhando em um servidor Web Apache em uma VM diferente (IP 10.10.10.11) com SSL (instalado com certbot) em um subdomínio app.example.com.
Também funciona bem ao passar pelo proxy reverso Nginx. Este é o arquivo de configuração desse servidor:
server {
server_name app.example.com.ar www.app.example.com.ar;
location / {
proxy_pass http://10.10.10.2/;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/app.example.com.ar/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/app.example.com.ar/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = app.example.com.ar) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
server_name app.example.com.ar www.app.example.com.ar;
return 404; # managed by Certbot
}
É aqui que as coisas ficam complicadas:
se tentar obter http example.com (servindo o iis) passar pelo nginx, obtenha um servidor web apache com app.example.com se tentar obter o URL completo do site example.com/_/login? returnurl =, recebo um erro 404 do Apache
Por que isso está acontecendo?
TLDR: Ter múltiplas VMs com servidor web (IIS e Apache) tentando redirecionar via proxy reverso nginx e todas as solicitações http obtêm o servidor web apache.
# configuration file /etc/nginx/nginx.conf:
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;
events {
worker_connections 768;
# multi_accept on;
}
http {
##
# Basic Settings
##
sendfile on;
tcp_nopush on;
types_hash_max_size 2048;
# server_tokens off;
# server_names_hash_bucket_size 64;
# server_name_in_redirect off;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
##
# Logging Settings
##
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
gzip on;
# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
##
# Virtual Host Configs
##
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
#mail {
# # See sample authentication script at:
# # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
# # auth_http localhost/auth.php;
# # pop3_capabilities "TOP" "USER";
# # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
# server {
# listen localhost:110;
# protocol pop3;
# proxy on;
# }
#
# server {
# listen localhost:143;
# protocol imap;
# proxy on;
# }
#}
# configuration file /etc/nginx/mime.types:
types {
text/html html htm shtml;
text/css css;
text/xml xml;
image/gif gif;
image/jpeg jpeg jpg;
application/javascript js;
application/atom+xml atom;
application/rss+xml rss;
text/mathml mml;
text/plain txt;
text/vnd.sun.j2me.app-descriptor jad;
text/vnd.wap.wml wml;
text/x-component htc;
image/png png;
image/tiff tif tiff;
image/vnd.wap.wbmp wbmp;
image/x-icon ico;
image/x-jng jng;
image/x-ms-bmp bmp;
image/svg+xml svg svgz;
image/webp webp;
application/font-woff woff;
application/java-archive jar war ear;
application/json json;
application/mac-binhex40 hqx;
application/msword doc;
application/pdf pdf;
application/postscript ps eps ai;
application/rtf rtf;
application/vnd.apple.mpegurl m3u8;
application/vnd.ms-excel xls;
application/vnd.ms-fontobject eot;
application/vnd.ms-powerpoint ppt;
application/vnd.wap.wmlc wmlc;
application/vnd.google-earth.kml+xml kml;
application/vnd.google-earth.kmz kmz;
application/x-7z-compressed 7z;
application/x-cocoa cco;
application/x-java-archive-diff jardiff;
application/x-java-jnlp-file jnlp;
application/x-makeself run;
application/x-perl pl pm;
application/x-pilot prc pdb;
application/x-rar-compressed rar;
application/x-redhat-package-manager rpm;
application/x-sea sea;
application/x-shockwave-flash swf;
application/x-stuffit sit;
application/x-tcl tcl tk;
application/x-x509-ca-cert der pem crt;
application/x-xpinstall xpi;
application/xhtml+xml xhtml;
application/xspf+xml xspf;
application/zip zip;
application/octet-stream bin exe dll;
application/octet-stream deb;
application/octet-stream dmg;
application/octet-stream iso img;
application/octet-stream msi msp msm;
application/vnd.openxmlformats-officedocument.wordprocessingml.document docx;
application/vnd.openxmlformats-officedocument.spreadsheetml.sheet xlsx;
application/vnd.openxmlformats-officedocument.presentationml.presentation pptx;
audio/midi mid midi kar;
audio/mpeg mp3;
audio/ogg ogg;
audio/x-m4a m4a;
audio/x-realaudio ra;
video/3gpp 3gpp 3gp;
video/mp2t ts;
video/mp4 mp4;
video/mpeg mpeg mpg;
video/quicktime mov;
video/webm webm;
video/x-flv flv;
video/x-m4v m4v;
video/x-mng mng;
video/x-ms-asf asx asf;
video/x-ms-wmv wmv;
video/x-msvideo avi;
}
# configuration file /etc/nginx/sites-enabled/app.example.com.ar:
server {
server_name app.example.com.ar www.app.example.com.ar;
location / {
proxy_pass http://10.10.10.2/;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/app.example.com.ar/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/app.example.com.ar/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = app.example.com.ar) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
server_name app.example.com.ar www.app.example.com.ar;
return 404; # managed by Certbot
}
# configuration file /etc/letsencrypt/options-ssl-nginx.conf:
# This file contains important security parameters. If you modify this file
# manually, Certbot will be unable to automatically provide future security
# updates. Instead, Certbot will print and log an error message with a path to
# the up-to-date file that you will need to refer to when manually updating
# this file. Contents are based on https://ssl-config.mozilla.org
ssl_session_cache shared:le_nginx_SSL:10m;
ssl_session_timeout 1440m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";
# configuration file /etc/nginx/sites-enabled/reverseproxy.conf:
server {
listen 80;
server_name _;
location / {
proxy_pass http://10.10.10.196:80;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
Por favor, deixe-me saber se precisar de mais informações ou outras
eu ficaria muito feliz pela ajuda!
Responder1
Presumo que a entrada DNS example.comesteja apontando para o servidor cuja configuração é mostrada na pergunta.
Esta configuração possui três hosts virtuais definidos:
server {
server_name app.example.com.ar www.app.example.com.ar;
listen 443 ssl; # managed by Certbot
location / {
proxy_pass http://10.10.10.2/;
}
}
server {
listen 80;
server_name app.example.com.ar www.app.example.com.ar;
}
server {
listen 80;
server_name _;
location / {
proxy_pass http://10.10.10.196:80;
}
}
O primeiro host é para app.example.com.ara porta 443 (TLS), que reverte proxies para 10.10.10.2.
O segundo host é para app.example.com.ara porta 80 (HTTP), que retorna 404 não encontrado.
O terceiro não tem definição server_name.
O nginx seleciona o host virtual a ser usado verificando o Hostcabeçalho na solicitação HTTP ou SNIo campo no pacote TLS ClientHello.
Ele pega o nome da solicitação e tenta procurar um serverbloco correspondente para a porta.
No seu caso, uma solicitação http://example.com.arsignifica que o nginx tenta procurar um bloco com server_name example.com.arwhere listenestá definido como 80. Não existe tal bloco, então o nginx usa o bloco padrão.
Como não há serverentrada default_serverespecificada, o nginx usará o primeiro serverbloco correspondente como padrão para lidar com a solicitação. Neste caso é o segundo bloco. Nesse bloco do servidor, a ação é return 404;, que você pode ver no seu navegador.
Para corrigir o problema, você deve configurar o próprio server_nameno terceiro bloco.