Данная конфигурация Nginx позволяет маршрутизировать запросы к различным субдоменам на соответствующие виртуальные машины (ВМ) через реверс-прокси. Все субдомены обслуживаются через HTTPS с автоматическим редиректом с HTTP.
# Ubuntu/Debian
sudo apt update
sudo apt install nginx
# CentOS/RHEL
sudo yum install nginx
# Arch Linux
sudo pacman -S nginx
sudo nginx -v
# Должно вывести: nginx version: nginx/1.xx.x
sudo systemctl status nginx
# Должен быть активен (active)
sudo mkdir -p /etc/nginx/ssl/banaworld.ru
sudo cp your_certificate.crt /etc/nginx/ssl/banaworld.ru/cert.pem
sudo cp your_private.key /etc/nginx/ssl/banaworld.ru/key.pem
sudo chmod 600 /etc/nginx/ssl/banaworld.ru/*.key
sudo chmod 644 /etc/nginx/ssl/banaworld.ru/*.pem
sudo chown root:root /etc/nginx/ssl/banaworld.ru/*
# Проверка сертификата
openssl x509 -in /etc/nginx/ssl/banaworld.ru/cert.pem -text -noout
# Проверка приватного ключа
openssl rsa -in /etc/nginx/ssl/banaworld.ru/key.pem -check
Ниже представлена готовая, протестированная структура конфигурации. Она исправляет все ошибки исходного файла (опечатки, дублирование директив) и разделяет настройки на логические модули для удобства поддержки.
Мы создадим следующую иерархию в /etc/nginx/:
/etc/nginx/
├── nginx.conf # Главный файл
├── conf.d/ # Общие настройки (сниппеты)
│ ├── gzip.conf # Настройки сжатия
│ ├── ssl-params.conf # Общие настройки SSL
│ ├── proxy-params.conf # Базовые заголовки прокси (без таймаутов/буферов)
│ └── subdomain-map.conf # Маппинг субдоменов на IP
├── sites-available/ # ХРАНИЛИЩЕ конфигов (файлы лежат здесь)
│ ├── 00-http-redirect # Редирект HTTP -> HTTPS
│ ├── 00-default-404 # Сервер по умолчанию (404)
│ ├── proxmox # Отдельный блок для Proxmox
│ ├── onlyoffice # Отдельный блок для OnlyOffice
│ └── dynamic-subdomains # Основной wildcard сервер
└── sites-enabled/ # АКТИВНЫЕ конфиги (символические ссылки)
├── 00-http-redirect -> ../sites-available/00-http-redirect
├── 00-default-404 -> ../sites-available/00-default-404
├── proxmox -> ../sites-available/proxmox
├── onlyoffice -> ../sites-available/onlyoffice
└── dynamic-subdomains -> ../sites-available/dynamic-subdomains
Важно:
sites-available— хранит все конфигурацииsites-enabled— хранит символические ссылки на активные сайты- Nginx читает только
sites-enabled(черезincludeвnginx.conf)
/etc/nginx/nginx.confsudo nano /etc/nginx/nginx.conf
user www-data;
worker_processes auto;
pid /run/nginx.pid;
error_log /var/log/nginx/error.log warn;
events {
worker_connections 1024;
use epoll;
multi_accept on;
}
http {
# Базовые настройки
include /etc/nginx/mime.types;
default_type application/octet-stream;
client_max_body_size 1024G;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
keepalive_requests 100;
types_hash_max_size 2048;
server_names_hash_bucket_size 64;
# Лимиты скорости
limit_rate 50M;
limit_rate_after 100M;
# Логирование
access_log /var/log/nginx/access.log combined;
error_log /var/log/nginx/error.log warn;
# Подключение модулей (сниппетов)
include /etc/nginx/conf.d/*.conf;
# Подключение виртуальных серверов (КРИТИЧНО ВАЖНО)
include /etc/nginx/sites-enabled/*;
}
conf.d)/etc/nginx/conf.d/gzip.confsudo nano /etc/nginx/conf.d/gzip.conf
gzip on;
gzip_disable "msie6";
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_min_length 256;
gzip_buffers 16 8k;
gzip_http_version 1.1;
gzip_types
text/plain
text/css
text/xml
text/javascript
application/json
application/javascript
application/xml
application/xml+rss
application/rss+xml
application/atom+xml
application/x-javascript
application/xhtml+xml
image/svg+xml;
/etc/nginx/conf.d/ssl-params.confsudo nano /etc/nginx/conf.d/ssl-params.conf
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
# HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# Безопасность заголовков
server_tokens off;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
/etc/nginx/conf.d/proxy-params.confВажно: Здесь только заголовки. Таймауты и буферизация вынесены в конфиги серверов, чтобы избежать ошибок дублирования.
sudo nano /etc/nginx/conf.d/proxy-params.conf
# Заголовки
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Port $server_port;
# WebSocket поддержка
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# Скрытие информации
proxy_hide_header X-Powered-By;
/etc/nginx/conf.d/subdomain-map.confsudo nano /etc/nginx/conf.d/subdomain-map.conf
map $subdomain $backend_host {
wiki 192.168.39.8:3000; # ВМ 1 - KKN сервис
git 192.168.39.9:3000; # ВМ 2 - API сервис
kkn 192.168.39.6; # ВМ 3 - KKN сервис
nextcloud 192.168.39.120:8080; # Docker-хост : порт Nextcloud
default 192.168.39.8:3000; # Субдомен по умолчанию
}
sites-available)/etc/nginx/sites-available/00-http-redirectsudo nano /etc/nginx/sites-available/00-http-redirect
server {
listen 80;
listen [::]:80;
server_name *.banaworld.ru banaworld.ru;
# Извлекаем субдомен
set $subdomain " ";
if ($host ~* ^([a-z0-9-]+)\.banaworld\.ru$) {
set $subdomain $1;
}
if ($host = "banaworld.ru") {
set $subdomain "www";
}
return 301 https://$host$request_uri;
}
/etc/nginx/sites-available/00-default-404sudo nano /etc/nginx/sites-available/00-default-404
server {
listen 80 default_server;
listen [::]:80 default_server;
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
ssl_certificate /etc/nginx/ssl/banaworld.ru/cert.pem;
ssl_certificate_key /etc/nginx/ssl/banaworld.ru/key.pem;
include /etc/nginx/conf.d/ssl-params.conf;
return 404 "Субдомен не найден или не настроен";
}
/etc/nginx/sites-available/proxmoxsudo nano /etc/nginx/sites-available/proxmox
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name px.banaworld.ru;
ssl_certificate /etc/nginx/ssl/banaworld.ru/cert.pem;
ssl_certificate_key /etc/nginx/ssl/banaworld.ru/key.pem;
include /etc/nginx/conf.d/ssl-params.conf;
location / {
proxy_pass https://192.168.39.131:8006;
proxy_ssl_verify off; # Игнорируем самоподписанный сертификат
include /etc/nginx/conf.d/proxy-params.conf;
# Индивидуальные настройки Proxmox
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 300s;
proxy_buffering on;
proxy_buffer_size 16k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
}
}
/etc/nginx/sites-available/onlyofficesudo nano /etc/nginx/sites-available/onlyoffice
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name onlyoffice.banaworld.ru;
ssl_certificate /etc/nginx/ssl/banaworld.ru/cert.pem;
ssl_certificate_key /etc/nginx/ssl/banaworld.ru/key.pem;
# Переопределяем заголовки безопасности для совместимости
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
server_tokens off;
add_header X-Frame-Options "ALLOW-FROM https://nextcloud.banaworld.ru/" always;
add_header Content-Security-Policy "frame-ancestors https://nextcloud.banaworld.ru;" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
client_max_body_size 1024G;
location / {
proxy_pass http://192.168.39.120:8081;
include /etc/nginx/conf.d/proxy-params.conf;
# Индивидуальные настройки OnlyOffice (отключаем буферизацию)
proxy_buffering off;
proxy_request_buffering off;
proxy_max_temp_file_size 0;
# Длинные таймауты для операций с документами
proxy_connect_timeout 3600s;
proxy_send_timeout 3600s;
proxy_read_timeout 3600s;
}
}
/etc/nginx/sites-available/dynamic-subdomainssudo nano /etc/nginx/sites-available/dynamic-subdomains
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name *.banaworld.ru banaworld.ru;
ssl_certificate /etc/nginx/ssl/banaworld.ru/cert.pem;
ssl_certificate_key /etc/nginx/ssl/banaworld.ru/key.pem;
include /etc/nginx/conf.d/ssl-params.conf;
# Извлечение субдомена
set $subdomain " ";
if ($host ~* ^([a-z0-9-]+)\.banaworld\.ru$) {
set $subdomain $1;
}
if ($host = "banaworld.ru") {
set $subdomain "www";
}
location / {
proxy_pass http://$backend_host;
include /etc/nginx/conf.d/proxy-params.conf;
# Стандартные настройки
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 300s;
proxy_buffering on;
proxy_buffer_size 16k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
}
# Дополнительная защита для админки
location /admin/ {
# Раскомментируйте для ограничения по IP
# allow 192.168.39.0/24;
# deny all;
proxy_pass http://$backend_host;
include /etc/nginx/conf.d/proxy-params.conf;
}
}
Выполните команды последовательно:
sudo mkdir -p /etc/nginx/sites-available
sudo mkdir -p /etc/nginx/sites-enabled
sudo ln -s /etc/nginx/sites-available/00-http-redirect /etc/nginx/sites-enabled/
sudo ln -s /etc/nginx/sites-available/00-default-404 /etc/nginx/sites-enabled/
sudo ln -s /etc/nginx/sites-available/proxmox /etc/nginx/sites-enabled/
sudo ln -s /etc/nginx/sites-available/onlyoffice /etc/nginx/sites-enabled/
sudo ln -s /etc/nginx/sites-available/dynamic-subdomains /etc/nginx/sites-enabled/
sudo rm -f /etc/nginx/sites-enabled/default
sudo chmod 644 /etc/nginx/conf.d/*.conf
sudo chmod 644 /etc/nginx/sites-available/*
ls -la /etc/nginx/sites-enabled/
Ожидаемый вывод:
lrwxrwxrwx 1 root root 44 Feb 22 08:00 00-http-redirect -> ../sites-available/00-http-redirect
lrwxrwxrwx 1 root root 45 Feb 22 08:00 00-default-404 -> ../sites-available/00-default-404
lrwxrwxrwx 1 root root 36 Feb 22 08:00 proxmox -> ../sites-available/proxmox
lrwxrwxrwx 1 root root 39 Feb 22 08:00 onlyoffice -> ../sites-available/onlyoffice
lrwxrwxrwx 1 root root 47 Feb 22 08:00 dynamic-subdomains -> ../sites-available/dynamic-subdomains
sudo nginx -t
Ожидаемый результат:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
sudo systemctl reload nginx
sudo systemctl status nginx
Чтобы избежать ошибок в будущем, соблюдайте правило разделения настроек:
| Параметр | Где настраивать | Почему |
|---|---|---|
proxy_set_header |
conf.d/proxy-params.conf |
Одинаково для всех сервисов |
WebSocket (Upgrade) |
conf.d/proxy-params.conf |
Одинаково для всех сервисов |
proxy_*_timeout |
В файле сервера (sites-available) |
У всех разная длительность сессий |
proxy_buffering |
В файле сервера (sites-available) |
OnlyOffice требует отключения, другим нужно |
ssl_* |
conf.d/ssl-params.conf |
Единый стандарт безопасности |
gzip_* |
conf.d/gzip.conf |
Глобальная настройка сжатия |
map |
conf.d/subdomain-map.conf |
Глобальная логика маршрутизации |
| Сервис | URL | Ожидаемый результат |
|---|---|---|
| HTTP редирект | http://wiki.banaworld.ru |
301 Redirect на HTTPS |
| Proxmox | https://px.banaworld.ru |
Интерфейс Proxmox |
| OnlyOffice | https://onlyoffice.banaworld.ru |
Интерфейс OnlyOffice |
| Wiki | https://wiki.banaworld.ru |
Прокси на 192.168.39.8:3000 |
| Git | https://git.banaworld.ru |
Прокси на 192.168.39.9:3000 |
| Nextcloud | https://nextcloud.banaworld.ru |
Прокси на 192.168.39.120:8080 |
| Неизвестный субдомен | https://unknown.banaworld.ru |
404 "Субдомен не найден" |
# Проверка конфигурации
sudo nginx -t
# Перезагрузка (без разрыва соединений)
sudo systemctl reload nginx
# Полный рестарт
sudo systemctl restart nginx
# Просмотр логов ошибок в реальном времени
sudo tail -f /var/log/nginx/error.log
# Просмотр логов доступа
sudo tail -f /var/log/nginx/access.log
# Проверка активных соединений
sudo netstat -tulpn | grep nginx
# Проверка симлинков
ls -la /etc/nginx/sites-enabled/
| Ошибка | Причина | Решение |
|---|---|---|
directive is duplicate |
Настройка в conf.d и в сервере |
Удалить из conf.d, оставить в сервере |
No such file or directory |
Нет симлинка или файла | Проверить путь в sites-enabled |
SSL certificate not found |
Нет сертификатов | Создать папку /etc/nginx/ssl/banaworld.ru/ и положить cert.pem, key.pem |
502 Bad Gateway |
Бэкенд недоступен | Проверить доступность IP:порт с сервера Nginx |
403 Forbidden |
Права доступа | sudo chmod -R 755 /var/www |
include ... failed |
Нет папки sites-enabled |
sudo mkdir -p /etc/nginx/sites-enabled |
| Было (ошибка) | Стало (исправлено) |
|---|---|
ss l_certificate |
ssl_certificate |
list en |
listen |
pr oxy_set_header |
proxy_set_header |
text/j avascript |
text/javascript |
Strict-Transport-Se curity |
Strict-Transport-Security |
proxy_connect_timeo ut |
proxy_connect_timeout |
proxy_buffering дубликат |
Вынесено в конфиги серверов |
proxy_*_timeout дубликат |
Вынесено в конфиги серверов |
Сертификаты SSL: Убедитесь, что файлы сертификатов существуют:
sudo mkdir -p /etc/nginx/ssl/banaworld.ru/
sudo ls -la /etc/nginx/ssl/banaworld.ru/
Порядок загрузки: Файлы в sites-enabled обрабатываются в алфавитном порядке. Префикс 00- гарантирует, что редирект и дефолтный сервер обработаются первыми.
Масштабирование: Для добавления нового сервиса:
/etc/nginx/sites-available/sudo ln -s /etc/nginx/sites-available/имя /etc/nginx/sites-enabled/sudo nginx -tsudo systemctl reload nginxОтключение сервиса: Удалите симлинк из sites-enabled (не удаляйте файл из sites-available):
sudo rm /etc/nginx/sites-enabled/имя_сервиса
sudo nginx -t
sudo systemctl reload nginx
Эта архитектура готова к масштабированию и поддерживает чистое разделение общих и индивидуальных настроек.
Чтобы добавить новый субдомен, отредактируйте блок map в конфигурации:
map $subdomain $backend_host {
# ... существующие субдомены ...
# Новый субдомен
newapp 192.168.39.200:8080; # Новая ВМ
# ... остальные субдомены ...
}
Затем примените изменения:
sudo nginx -t && sudo systemctl reload nginx
Конфигурация включает современные настройки безопасности:
add_header X-Frame-Options "SAMEORIGIN" always; # Защита от clickjacking
add_header X-Content-Type-Options "nosniff" always; # Защита от MIME-sniffing
add_header X-XSS-Protection "1; mode=block" always; # Защита от XSS
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Для защиты админ-панели можно добавить IP-фильтрацию:
location /admin/ {
allow 192.168.39.0/24; # Разрешить локальную сеть
allow 203.39.113.10; # Разрешить конкретный IP
deny all; # Запретить всем остальным
proxy_pass http://$backend_host;
# ... остальные настройки
}
location /admin/ {
auth_basic "Restricted Area";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_pass http://$backend_host;
# ... остальные настройки
}
Создание файла .htpasswd:
# Установка утилиты
sudo apt install apache2-utils
# Создание пользователя
sudo htpasswd -c /etc/nginx/.htpasswd username
# Добавление пользователя
sudo htpasswd /etc/nginx/.htpasswd anotheruser
# Проверка синтаксиса
sudo nginx -t
# Проверка конфигурации с подробным выводом
sudo nginx -T
# Проверка запущенных процессов
ps aux | grep nginx
# Лог ошибок
sudo tail -f /var/log/nginx/error.log
# Лог доступа
sudo tail -f /var/log/nginx/access.log
# Логи для конкретного субдомена
sudo grep "git.banaworld.ru" /var/log/nginx/access.log
# Проверка доступности субдомена
curl -I https://git.banaworld.ru
# Проверка редиректа HTTP -> HTTPS
curl -I http://git.banaworld.ru
# Проверка сертификата
openssl s_client -connect git.banaworld.ru:443 -servername git.banaworld.ru | openssl x509 -noout -dates
# Проверка портов
sudo netstat -tlnp | grep nginx
# или
sudo ss -tlnp | grep nginx
Данная конфигурация распространяется по лицензии MIT. Используйте на своё усмотрение.
Для вопросов и предложений создавайте issue в репозитории или обращайтесь к администратору системы.
Последнее обновление: 22 февраля 2026 года
Версия конфигурации: 2.0.1