Menü
Artikel Linux

NGINX Reverseproxy

Jannik Rehkemper

• Lesezeit: 3 Min.

Hier gibt es Infos zu verschiedenen Konfigurationen

Konfiguration als Proxy

Ein Proxy dient als Mittelsmann zwischen Client und Server. Dies kann in verschiedenen Varianten genutzt werden. Entweder als Forward Proxy oder als Reverse Proxy. Das klingt jetzt erstmal komplizierter als es ist.

Forward Proxy

Ein Forward Proxy ist dem ein oder anderen Nutzer nur als Proxy bekannt. Als Client verbindet man sich mit einem Proxy um seinen IP oder Herkunft zu verschleiern. Bei einem HTTP Request, wird dieser dann vom Client an den Proxy geschickt und dieser schickt ihn an den Zielserver, z.B. einen Webserver. Dadurch denkt der Zielserver, die Anfrage stamme vom Proxy und bekommt gar nicht mit, dass die Anfrage eigentlich von unserem Client stammt.

Reverse Proxy

Ein Reverse Proxy funktioniert, wie der Name vermuten lässt, genau anders herum. Das heißt er verschleiert nicht den Client, sondern den Zielserver. Dazu werden alle Anfragen an den Reverse Proxy geschickt und dieser entscheidet anhand der URL an welcher Server in seinem interen Netz er die Anfrage weiterleitet. Das ergibt Sinn, wenn man die Server innerhalb eines Rechenzentrums schützen möchte, weil man so nur einen Server an das Internet anbinden muss und nicht jeden einzelnen. Außerdem kann man so mehrere Websites auf einer Domain hosten, ohne ständig Portfreigaben durchzuführen, indem man Subdomains nutzt.

Software

Viele der gängigen Webserver können als Proxy konfiguriert werden. Ich selber habe es bereits mit Apache2 und NGINX probiert. Dazu muss die Config des Webservers angepasst werden, damit dieser statt eine HTML-Datei zu präsentieren die Anfrage an eine Interne IP weiterleitet. Außerdem muss der Proxy die Header anpassen, damit der Client denkt die Antwort käme vom Proxy und nicht von einem Server im Hintergrund.

Konfiguration

Config erstellen

Zu Allererste müssen wir eine Config-Datei für den NGINX erstellen. Diese muss unter /etc/nginx/site-available/ angelegt werden. Um die Config zu verwenden, muss sie noch aktiviert werden.

ln -s /etc/nginx/sites-availabel/<yourconfig> /etc/nginx/sites-enabled/<yourconfig>

Danach kann mir systemctl reload nginx der NGXIN mit der neuen Config neugestartet werden.

Reverse Proxy konfigurieren

Im ersten Beispiel wollen wir alle Anfragen auf http://example.de:80 auf unseren internen Server 192.168.0.100 umleiten.

Dazu definieren wir in der Server-Conifg den Port 80 und den server_name. Mit dem Teil location / definieren wir, dass alle URL des Website umgeleitet werden. Das wird noch klarere, sobald wir mehrere Location Befehle verwenden. Der proxy_pass Befehlt sorgt dafür, dass alle Anfragen an die 192.168.0.100 auf Port 80 weiter geleitet werden.

Möchte man anfragen auf https umleiten, muss statt Port 80, Port 443 angegeben werden.

Dadurch, dass der Proxy die Daten vom internen Server lädt und nicht der Browser des Users, kann man auch interne IP-Adressen hinterlegen, die nicht vom Internet erreichbar sind.

server {
    listen 80;
    server_name example.de

    location / {
        proxy_pass http://192.168.0.100:80/;
    }
}

Im nächsten Schritt wollen wir unsere Website in ein Frontend und Backend aufteilen. Das Frontend soll unter http://example.de/ erreichbar sein und das Backend unter http://example.de/api/.

server {
    listen 80;
    server_name example.de

    location / {
        proxy_pass http://192.168.0.100:80/;
    }

    location /api/ {
        proxy_pass http://192.168.0.101:80/;
    }
}

Manchmal hat man bei der Umleitung eines Subdirectory das Problem, dass z.B. die CSS-Dateien nicht geladen werden. Das liegt daran, dass auch wenn example.de/api/ umgeleitet wird, werden die CSS-Dateien weiter unter example.de/css... gesucht. Um das zu beheben gibt es sub_filter.

Diese sub_filter schauen, durch die HTML Dateien, die der Proxy an den Browser schickt und ändert betreffende Stellen ab.

Dafür muss zuerst im Quellcode geschaut werden, an welcher stelle die CSS-Dateien geladen werden.

server {
    listen 80;
    server_name example.de

    location / {
        proxy_pass http://192.168.0.100:80/;
    }

    location /api/ {
        sub_filter_once off;
        sub_filter 'href="/css/' 'href="/api/css/';
        proxy_pass http://192.168.0.101:80/;
    }
}

So werden alle Stellen die auf den Filter 'href="/css/' zutreffen zu 'href="/api/css/' abgeändert. Das ganze geht natürlich auch mit anderen Dateien als CSS.

Durch sub_filter_once off werden alle Treffer und nicht nur der erste ersetzt.

Proxy bei mehren (Sub)Domains

Möchte man mehrere Domains oder Subdomains über den gleichen Proxy verarbeiten, müssen dafür mehrere Config-Dateien angelegt werden. Durch den server_name Directive kann der NGINX unterschieden, welcher Config-File genutzt werden soll.

Troubleshooting

Fehler „413 Request Entity too large“

Um den Fehler zu beheben muss in /etc/nginx/nginx.conf die folgenden Parameter hinzugefügt werden:

client_max_body_size 10000m;
client_body_buffer_size 10000m;

Websites mit PHP

PHP Cache aktivieren.

#in /etc/nginx/nginx.conf

fastcgi_cache_path /etc/nginx-cache levels=1:2 keys_zone=phpcache:100m inactive=60m;
fastcgi_cache_key "$scheme$request_method$host$request_uri";
#in /etc/nginx/sites-available/your.conf

location ~ [^/]\.php(/|$) {
fastcgi_cache phpcache; # The name of the cache key-zone to use
fastcgi_cache_valid 200 30m; # What to cache: 'Code 200' responses, for 30 minutes
fastcgi_cache_methods GET HEAD; # What to cache: only GET and HEAD requests (not POST)
Teilen
Kommentare anzeigen

Wir nutzen Cookies

Um die Nutzung der Website zu verbessern, nutzen wir Cookies.
Desweiteren werden Google-Dienste für das schalten von Werbung verwendet. Mit der Nutzung der Website geben Sie ihr Einverständnis.
Sollte die Nutzung von Cookies abgelehnt werden, kann dies Auswirkung auf die Nutzung der Website haben.

Themen

Linux: 38 ubuntu: 26 Windows: 12 Quicktips: 10 LXD: 6 Virtualisierung: 5 Netzwerk: 5 Docker: 4 Datenbanken: 4 Hardware: 4 Guide: 4 Setup: 4 Webserver: 3 SQL: 3 cron: 3 cronjob: 3 mysql: 3 Quicktip: 3 administration: 3 DNS: 3 Container: 2 Host: 2 Linux Container: 2 Microsoft: 2 Aorus Elite x570: 2 Mainboard: 2 vnc: 2 shortcut: 2 cli: 2 github: 2 Software: 2 Festplatte: 2 hdd: 2 ssh: 2 datenbank: 2 quicktipp: 2 crontab: 2 MTA: 2 Nullmailer: 2 Postfix: 2 autostart: 2 skript: 2 startup: 2 Raspberry Pi: 2 Terminal: 2 Server: 2 Powershell: 2 Python: 2 Homelab: 2 Netzwerktechnik: 2 SteamCMD: 2 Lokaler DNS Server: 2 Berechtigungen: 2 Grafana: 2 Update: 2 macvlan: 2 Forward Proxy: 1 NGINX: 1 Proxy: 1 Reverse Proxy: 1 exportieren: 1 importieren: 1 sichern: 1 Snapshot: 1 starten: 1 stoppen: 1 verschieben: 1 wiederherstellen: 1 Entwicklung: 1 Geschichte: 1 Modelle: 1 Systeme: 1 Oracle: 1 Abfrage: 1 Befehle: 1 Join: 1 SQL Language: 1 Tabellen: 1 AMD-V: 1 BIOS: 1 Gigabyte: 1 thinvnc: 1 commands: 1 hacks: 1 tricks: 1 befehl: 1 command: 1 date: 1 datum: 1 format: 1 formatierung: 1 automatisierung: 1 job: 1 commandline: 1 git: 1 repo: 1 energiesparen: 1 hdparm: 1 spindown: 1 standby: 1 externe festplatte: 1 nextcloud: 1 snap: 1 speicher: 1 storage: 1 ram: 1 swap: 1 swappiness: 1 dashboard: 1 endlessh: 1 hackerfalle: 1 Projekt: 1 firewall: 1 ufw: 1 Ausgabe umleitung: 1 corntab: 1 Output redirect: 1 Arbeitsspeicher: 1 innodb: 1 myisam: 1 mailserver: 1 mail: 1 boot: 1 debain: 1 script: 1 systemctl: 1 Systemd: 1 apache: 1 sicherheit: 1 Verzeichnis verstecken: 1 zugang: 1 aktivierung: 1 lizenz: 1 verlängern: 1 Cpu Temperatur: 1 Temperatur Auslesen: 1 Command Line: 1 Timezone: 1 Zeitzone: 1 Cheatsheat: 1 Vim: 1 anmeldung: 1 Authentifizierung: 1 private key: 1 public Key: 1 SSH Keys: 1 OpenVPN: 1 VPN: 1 Begriffserklärungen: 1 DECT: 1 Fachbergriffe: 1 SIP: 1 Telefonie: 1 Voice over IP: 1 VOIP: 1 Beginner Guide: 1 für Anfänger: 1 programmieren: 1 Variablen: 1 Apache2: 1 Flask: 1 Production Server: 1 Webapplikation: 1 Webhosting: 1 Website: 1 WSGI: 1 homenetwork: 1 Homeserver: 1 Rapsberry Pi: 1 Hosting: 1 blurry: 1 gui: 1 hight dpi: 1 scale: 1 skalierung: 1 unscharf: 1 windows forms: 1 2 Tier: 1 3 TIer: 1 Access Layer: 1 Architektur: 1 collapsed Core: 1 Core Layer: 1 Distribution Layer: 1 cluster: 1 k8s: 1 Kubernetes: 1 microk8s: 1 Arma: 1 Arma 3 Exile: 1 Arma3: 1 Game Server: 1 DNS Anfrage: 1 Internet: 1 NSlookup: 1 rekursiv: 1 Adblocker: 1 pi: 1 Pi-Hole: 1 raspberry: 1 Unbound: 1 Funktastatur: 1 leere Batterie: 1 pairing: 1 USB Dongle: 1 USB Pairing: 1 USB Tastatur: 1 USB Verbinden: 1 wirelesskeyboard: 1 Wirelesstastatur: 1 Active Direktory: 1 Organisationseinheiten: 1 Organizational Units: 1 OUs: 1 Conatiner: 1 Tutorial: 1 Import: 1 RRD: 1 RRDTool: 1 Smokeping: 1 Lan: 1 langsam: 1 npcap: 1 verbindung herstellen: 1 wireshark: 1 discord: 1 ip-Adresse: 1 netplan: 1 network: 1 static ip: 1 statische IP: 1 Gameserver: 1 Satisfactory: 1 Spiele: 1 Error: 1 Unkown device type: 1 DIY: 1 FaceTrack: 1 gaming: 1 HeadTracking: 1 Webcam: 1 LDAP: 1 OoenLDAP: 1 Nutzer: 1 FritzBox: 1 PiHole: 1 X11: 1 Fernzugriff: 1 PuTTY: 1 Wake on Lan: 1 Intel ProSet: 1 Bridge: 1 InfluxDB: 1 Bad Gateway: 1 Bad Request: 1 Ghost: 1 CMS: 1 Office: 1 Powerpoint: 1 MDADM: 1 RAID: 1 ZFS: 1 innodb_redo: 1 log: 1 5.1 Surround: 1 Dolby Digital: 1 Ac3Filter: 1 Audio: 1