= Сообщение: 2421 из 10795 ===================================== RU.UNIX.BSD = От : Constantin Stefanov 2:5020/400 21 Jan 15 13:43:16 Кому : Vassily Kiryanov 21 Jan 15 13:43:16 Тема : Re: nginx не забирает полный ответ от apache FGHI : area://RU.UNIX.BSD?msgid=<1187498950@ddt.demos.su>+663cf70d На : area://RU.UNIX.BSD?msgid=2:5054/36+54bfba56 = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.UNIX.BSD?msgid=2:5054/36+54c0de36 ============================================================================== From: Constantin Stefanov <cstef@mail.ru>
On 21.01.2015 14:25, Vassily Kiryanov wrote: >>> VK>> Hаступил на странные грабли. Есть система, на которой несколько >>> VK>> джэйлов, для апача, нгинкса, мускуля и прочего - по задаче на >>> VK>> джэйл. В в джэйле с апачем22 стоит и php56 (хотелось посвежее, >>> VK>> но из pkg) вызываемый через suphp. В итоге даже простейший файл >>> VK>> с вызовом phpinfo клиенту от нгинкса приходит неполным. В логе >>> VK>> ошибок нгинкс строки вида: [alert] 60985#0: *28 writev() failed >>> VK>> (13: Permission denied) while sending to client, client: >>> VK>> 192.168.x.y
>>> EG> Permission denied это, возможно, запрет пакетного фильтра. >>> EG> Какой файрвол используется?
>>> Очень похоже, что представление авторов ядра FreeBSD на счёт того, >>> как нужно организовывать kernel NAT + ports redirect разительно >>> отличается от моего. Самое неприятное: начинаю подозревать, что прав >>> в этом заочном споре с ними отнюдь не я...
> CS> А можно поподробнее о конфигурации? > CS> А то у меня примерно похожее (в хостовой системе nginx, в джейлах > CS> апачи с php и mysql), и все работает без проблем, и большие файлы > CS> ходят. Правда, port mapping у меня использован только для того, чтоб > CS> ssh внутрь джейла пробросить, но через него большие файлы тоже отлично > CS> пролезают. Вот suphp нет.
> Такая конфигурация, которую ты описываешь, у меня тоже работала без проблем. > У меня несколько сексуальнее: основная система, своя подсеть адресов, три > провайдера интернета (постоянно включены два), в одном джэйле мускуль, в другом > нгинкс, в третьем апач, в четвёртом named. С трёх внешних адресов, на которых > подняты три kernel-NAT, на 80-й порт джэйла с нгинксом пробросы были через > редирект порта. Будь трансляция адресов одной-единственной, оно м.б. и > заработало-бы, но обратные пакеты пришлось отправлять через "ipfw nat global", > может это помешало. А может я просто не умею этих кошек готовить.
> Сейчас сделаю, чтобы нгинкс в джэйле слушал на нескольких разных портах и с > каждого внешнего адреса по отдельному redirect на _разные_ порты. Это избавит > от необходимости ответные пакеты сервисов пропускать через единый "nat global", > если заработает - оставлю так. Если не заработает - вообще уберу > redirect_port-ы для tcp, и воспользуюсь в основной системе несколькими datapipe > (есть в портах, удобная штука). Ясно, до такого я, действительно, не дошел. Если чего получится - расскажи, пожалуйста, чтоб знать на будущее.
-- Константин Стефанов
А Мусоргский - бухал! --- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)
