Если вы в курсе, то попробуйте переставить mod rpaf - Администрирование серверов

Установка Apache + nginx с использованием csf

vanjouke · 2008-09-15T17:33:27.0000000Z

Установка nginx: wget http://www.sysoev.ru/nginx/nginx-0.5.32.tar.gz tar -zxf nginx-0.5.32.tar.gz cd nginx-0.5.32 wget http://internap.dl.sourceforge.net/sourceforge/pcre/pcre-6.1.tar.gz tar -zxf pcre-6.1.tar.gz ./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --with-pcre=pcre-6.1 --with-http_addition_module --with-http_stub_status_module make make install Затем создаём файл запуска nginx: vi /etc/init.d/nginx #!/bin/sh # nginx - this script starts and stops the nginx daemin # chkconfig: - 85 15 # description: Nginx is an HTTP(S) server, HTTP(S) reverse \ # proxy and IMAP/POP3 proxy server # processname: nginx # config: /usr/local/nginx/nginx.conf # pidfile: /var/run/nginx.pid . /etc/rc.d/init.d/functions . /etc/sysconfig/network [ "$NETWORKING" = "no" ] && exit 0 nginx="/usr/local/nginx/nginx" prog=$(basename $nginx) [ -e /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx lockfile=/var/lock/subsys/nginx start() { echo -n $"Starting $prog: " daemon $nginx -c /usr/local/nginx/nginx.conf retval=$? echo [ $retval -eq 0 ] && touch $lockfile return $retval } stop() { echo -n $"Stopping $prog: " killproc $prog -QUIT retval=$? echo [ $retval -eq 0 ] && rm -f $lockfile return $retval } restart() { stop start } reload() { echo -n $"Reloading $prog: " killproc $nginx -HUP RETVAL=$? echo } force_reload() { restart } fdr_status() { status $prog } case "$1" in start|stop|restart|reload) $1 ;; force-reload) force_reload ;; status) fdr_status ;; condrestart|try-restart) [ ! -f $lockfile ] || restart ;; *) echo $"Usage: $0 {start|stop|status|restart|try-restart|reload|force-reload}" exit 2 esac и файл конфигурации: vi /usr/local/nginx/nginx.conf user nobody nobody; worker_processes 6; worker_rlimit_nofile 16384; events {worker_connections 8192;} http { include mime.types; default_type application/octet-stream; sendfile on; tcp_nopush on; tcp_nodelay on; client_header_timeout 10; client_body_timeout 3m; send_timeout 3m; client_header_buffer_size 4k; large_client_header_buffers 2 128k; gzip on; gzip_min_length 1024; gzip_buffers 12 32k; gzip_types text/html application/x-javascript application/xml text/css; output_buffers 4 32k; postpone_output 1460; keepalive_timeout 75; limit_zone one $binary_remote_addr 10m; limit_rate 25k; limit_conn one 5; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_redirect off; client_max_body_size 10m; client_body_buffer_size 128k; proxy_buffers 16 512k; proxy_buffer_size 512k; #proxy_busy_buffers_size 64k; server {listen 8008; location /nstat.htm {stub_status on;}} include "/usr/local/nginx/conf.conf"; } В файле conf.conf описываем IP, на которые резолвится vi /usr/local/nginx/conf.conf server {listen 1.2.3.4:88; location / {proxy_pass http://1.2.3.4:80;}} server {listen 1.2.3.5:88; location / {proxy_pass http://1.2.3.5:80;}} Устанавливаем mod_realip для Apache 1.3.* cd /usr/local/src wget http://sysoev.ru/mod_realip/mod_realip-2.0.tar.gz tar zxf mod_realip-2.0.tar.gz && cd mod_realip-2.0 apxs -iac mod_realip.c strip /usr/local/apache/libexec/mod_realip.so /etc/init.d/httpd restart В httpd.conf добовляем запись: vi /etc/httpd/conf/httpd.conf <IfModule mod_realip.c> RealIP on </IfModule> Для Apache2: wget http://stderr.net/apache/rpaf/download/mod_rpaf-0.5.tar.gz apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c В httpd.conf добовляем запись: vi /etc/httpd/conf/httpd.conf RPAFenable On RPAFsethostname On RPAFproxy_ips _nginx_IP_ _apache_IP_ Если на сервере не установлен csf+lfd, то его следует установить: yum install -y perl-libwww-perl wget http://configserver.com/free/csf.tgz tar zxf csf.tgz cd csf ./install.sh Затем в csf описываем всё теже IP: vi /etc/csf/csfpre.sh #!/bin/sh iptables -F -t nat iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp -m tcp --dport 80 -j DNAT --to-destination 1.2.3.4:88 iptables -t nat -A PREROUTING -d 1.2.3.4.5 -p tcp -m tcp --dport 80 -j DNAT --to-destination 1.2.3.5:88 Для особо ленивых написан скрипт генерации IP записей для conf.conf и csfpre.sh: http://moyhosting.com/ip/index.html :) Устанавлиаем права на csfpre.sh chmod 0700 /etc/csf/csfpre.sh Далее подключаем nat: echo "1" > /proc/sys/net/ipv4/ip_forward Выполняем следующие команды: service nginx restart service csf restart И всё работает :cool: Материалы: Установка nginx и модулей apache: MIRhosting.com, http://help.mirhosting.com/ Файл конфигурации nginx любезно предоставил Борис Долгов . Скрипт генерации ip записей написал Александр Федяшов aka valuex . Устанвока CSF+LFD взята с ресурса csf-lfd.ru

822

Andreyka

16 сентября 2008, 11:17

#11

Кстати, я говорил что скрестил nginx с directadmin?

Каждому юзеру по fastcgi php, управление настройками nginx тоже вынесено через панель, там где manual apache config

Очень подойдет например для адалта, где много трафика

Апач тоже оставлен жить на всякий случай, на main IP для запуска в нем всяких штук и проксирования на них nginx

Не стоит плодить сущности без необходимости

Можно ли что-то улучшить NGINX + PHP-FPM Google сам подставляет ошибочный

215

Boris A Dolgov

16 сентября 2008, 11:24

#12

sysctl:
Интересная штука, а что станет с серваком после очередного "апдейта" в cPanel/WHM и пересборки apache в Easy Apache 3?

Так в том то и дело, что ничего плохого не произойдет :)

Разве что надо будет переставить mod_rpaf, если еа его сносит..

Boris A Dolgov добавил 16.09.2008 в 15:25

Andreyka:
Кстати, я говорил что скрестил nginx с directadmin?
Каждому юзеру по fastcgi php, управление настройками nginx тоже вынесено через панель, там где manual apache config

Очень подойдет например для адалта, где много трафика

Апач тоже оставлен жить на всякий случай, на main IP для запуска в нем всяких штук и проксирования на них nginx

Защита папок паролем/рерайты/сustom handlers тоже адаптированы под nginx и вынесены в панель?

С уважением, Борис Долгов. Администрирование, дешевые лицензии ISPsystem, Parallels, cPanel, DirectAdmin, скины, SSL - ISPlicense.ru (http://www.isplicense.ru/?from=4926)

822

Andreyka

16 сентября 2008, 12:32

#13

Паролем да

Хендлеры и рерайты - нет, ручками через панель

S

34

stack

16 сентября 2008, 13:22

#14

Кстати по теме, мой генератор конфигов для Nginx (для работы в паре с Apache):
PHP генератор конфигарационных файлов для Nginx

Самая большая проблема, с которой сталкиваются начинающие пользователи nginx – это правильная его конфигурация. Я предлагаю Вам скрипт генерации конфигурационных файлов, для всех ip адресов расположенных на сервере.

Пользоваться им очень легко:

1)Создайте файл ips.txt в которой в каждую новую строку внесите по 1 ip адресу сервера.

#Пример:

#192.168.1.2

#192.168.1.3

#192.168.1.4

#192.168.1.5

2)Измените порт на котором nginx будет слушать сеть, для этого опуститесь

на 75 строчку скрипта и измените значение переменной $port.

После чего запустите скрипт в браузере и насладитесь красиво сгенированным конфигурационным файлом , который включает в себя:

1. Оптимально подобранные настройки производительности и экономии трафика
a. Оптимальные таумауты соединений (90 секунд). Вполне хватит даже для пользователей использующих модем.
b. Полностью отключены логии доступа и ошибок => минимальная нагрузка на файловую подсистему.
c. Включена статистика обработки данных.Теперь набрав адрес http://IP сервера/nginx-status Вы сможете 1увидеть что сейчас творится на сервере, расшифровка будет ниже.
d. Включена экономия трафика с помощью Gzip (сжимается текстовая информация), который незначительно «съедает» CPU, но значительно экономит трафик, а также время передачи данных в сети.
2. Первостепенная защита от DDOS (ограничение соединений – положительно влияет на нагрузку, и никак не мешает поисковым ботам).
........

продолжение...

Качественный хостинг Unlimits Telecom (http://www.unlimits.ru) (ООО "БизнесТелеКом"). Официальный Twitter канал (http://twitter.com/untelecom). Ознакомиться с нашими услугами можно в этом (/ru/forum/478822) топике.

215

Boris A Dolgov

16 сентября 2008, 14:01

#15

1. Оптимально подобранные настройки производительности и экономии трафика
a. Оптимальные таумауты соединений (90 секунд). Вполне хватит даже для пользователей использующих модем.
b. Полностью отключены логии доступа и ошибок => минимальная нагрузка на файловую подсистему.
c. Включена статистика обработки данных.Теперь набрав адрес http://IP сервера/nginx-status Вы сможете 1увидеть что сейчас творится на сервере, расшифровка будет ниже.
d. Включена экономия трафика с помощью Gzip (сжимается текстовая информация), который незначительно «съедает» CPU, но значительно экономит трафик, а также время передачи данных в сети.

Каждая ситуация абсолютно индивидуальна, совершенно нельзя говорить, что какие-то настройки ядвляются идеальными.

40

Roxis

16 сентября 2008, 15:31

#16

особенно b. порадовало

822

Andreyka

16 сентября 2008, 17:35

#17

Эх, молодежж

for i in `ifconfig | grep 'inet addr:' | grep -v 127.0.0.1 | cut -d : -f2 | cut -d ' ' -f1`; do echo -n '$IPT -t nat -A PREROUTING -p tcp -m tcp -d '; echo "$i --dport 80 -j DNAT --to-destination $i:85"; done >> /etc/apf/preroute.rules

for i in `ifconfig | grep 'inet addr:' | grep -v 127.0.0.1 | cut -d : -f2 | cut -d ' ' -f1`; do echo "server { listen $i:85; access_log /dev/null; location / { include /etc/nginx/generic.inc; root /var/www/html; proxy_pass http://$i:80; } }"; done > /etc/nginx/servers.conf

На фре не проверял

M

112

manman

18 сентября 2008, 17:59

#18

netwind:
manman, многие "панели угробления хостингом" только на 80 порту могут работать.

а чем бинд на 127 0 0 1:80 это не Порт 80?

manman добавил 18.09.2008 в 22:09

Andreyka:
Эх, молодежж
fo********
; access_log /dev/null; lo*********

access_log off; наверное правильнее будет ?

зачем лишнее телодвижение если "читать некому" из дефнула то

N

419

netwind

18 сентября 2008, 18:12

#19

manman, так они еще и на 0.0.0.0:80 биндятся. И вообще панели лучше лишний раз не трогать.

Если вы в курсе, расскажите куда надо нажать в directadmin, чтобы он забиндил на 127.0.0.1 и как все остальные компоненты потом будут работать.

Кнопка вызова админа ()

M

112

manman

18 сентября 2008, 18:19

#20

Roxis:
особенно b. порадовало

народ правильно написал - на вкус и цвет и под задачи ..

97513 nginx 4 0 26608K 25616K kqread

===============

800 доменов с отдельным конфом, >2000 лог файлов только у нгинкса . (типа лог под проксированные запросы, аксесс до статики и прочей мути) , половину уже отключил, ибо все чем занята машинко - писанием логов :-(

и логов 40гигов в сутки в среднем... по ним греп то с трудом бегает, не то что глазки..

у кого описанное в теме построено - скольк нгинкс оперативы ест?

заприметил - при отключении логов оперативопотребление падает, но не на много...

manman добавил 18.09.2008 в 22:23

netwind:
manman, так они еще и на 0.0.0.0:80 биндятся. *
Если вы в курсе, расскажите куда надо нажать в directadmin, *.

про 0.0.0.0:80 сдаюсь , не в курсе.

Зачем быть уникальным в мире, где все можно скопировать

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Установка Apache + nginx с использованием csf