LINUX.ORG.RU
ФорумAdmin

Nginx отбивает рандомных пользователей.


1

3

Есть nginx который проксирует на апач(локалхост), все location доступны всем, никаких ограничений. Итак проблема заключается в отсутствии доступа к серверу у совершенно разных людей, т.е. из одной сети (два рядом стоящих компьютера) - один может иметь доступ , а второй нет. В логах по этому поводу 0, такое ощущение , что клиент вообще не доходит до вебсервера.
К сожалению выключить всех и выяснить проблему с одним человеком не получается, т.к. сервер уже в продакшене, а клиент сидит на том-же ip что и пара десятков других. На локальной системе с nginx такой проблемы не наблюдалось (но там и народу не так много тестило). Может кто сталкивался?
p.s. фаервол впорядке, как только вырубаю nginx и включаю apache напрямую - все ОК. Ах да дистр - МСВСфера, nginx 1.3.4, apache - 2.2.3

★★
sendmail удаляет письма помеченные как спам
openvpn - как добавить маршрут?
Ответ на: комментарий от Vit

Если лимит файлов или сокетов, то в логах будет хоть что то.

UFO-man
()

проблема заключается в отсутствии доступа к серверу у совершенно разных людей

что именно не работает? tcp-сессия не устанавливается, nginx отдаёт ошибку, контент не до конца скачивается?

Вообще, проверь 1) фаервол и лимит на кол-во динамиских правил (iptables-save в студию) 2) mtu 3) лимиты на кол-во открытых файлов и вообще конфиг nginx

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Я так понимаю сессии нету, т.к. отдает стандартную заглушку о недоступности ресурса.
http://pastebin.com/KrUAd2d7 - firewall
http://pastebin.com/RZ8Pe6rP - nginx

Никак не хочет работать, но выявили странность, проблемы большей частью у сидящих за проксями..

dedsy ★★
() автор топика
Ответ на: комментарий от dedsy

а в dmesg что? Лучше тоже выложить.

Посмотри нет ли у тебя вот этого: http://www.cyberciti.biz/faq/ip_conntrack-table-ful-dropping-packet-error/

Я так же не знаю на счёт chunked_transfer encoding. Вот бы логов с проксей достать.

Так же нет нужды дублировать ssl и обычные виртхосты, достаточно два разных listen указать, один с ssl=on.

PS фаервол ужасен, лучше замени кучу правил парочкой что используют ipset.

true_admin ★★★★★
()
Ответ на: комментарий от dedsy

А сколько у тебя соединений? Не может быть превышено 8000?

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Нет, посмотрел через дебаг, проблема у пользователей с Vista и IE 7 (которые сидят через проксю), щас ещё раз дебаг сделаю и выложу.

dedsy ★★
() автор топика
Ответ на: комментарий от UFO-man

Нет нет, там проблема с принятием ssl сертификата , но именно с условием что ie7 стоит за проксей.. ) Хотя это пока больше теория, щас пытаюсь повторить локально эту штуку.

dedsy ★★
() автор топика
Ответ на: комментарий от dedsy

там проблема с принятием ssl сертификата , но именно с условием что ie7 стоит за проксей..

Увы, я не силён в вендопроблемах. Тем более что ie7 это тихий ужас. Я вижу что сертификат самоподписной. Возможно, нормальный сертификат решит проблему. В любом случае без висты и ie7 под рукой будет сложно дебажить.

Предложи юзерам другой браузер. Кстати, а обновление ie не помогает?

true_admin ★★★★★
()
Ответ на: комментарий от true_admin

Отбой, проблема не только с vista и ie7, тем более повторить её на другой машине (версии ПО одинаковые, прокся одна и та-же) невышло. Пока понятно только одно, работа прирывается из-за неправильного сертификата или бага с сертификатами.. непонятно нифига короче.. :(

dedsy ★★
() автор топика

Разобрался, шифрование надо руками выбрать было примерно так
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL;
иначе старые машины которые не имеют аппаратной поддержки AES не проходят :)

dedsy ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
sendmail удаляет письма помеченные как спам
Admin
openvpn - как добавить маршрут?