Данная конфигурация Nginx позволяет маршрутизировать запросы к различным субдоменам на соответствующие виртуальные машины (ВМ) через реверс-прокси. Все субдомены обслуживаются через HTTPS с автоматическим редиректом с HTTP.
# Ubuntu/Debian
sudo apt update
sudo apt install nginx
# CentOS/RHEL
sudo yum install nginx
# Arch Linux
sudo pacman -S nginx
sudo nginx -v
# Должно вывести: nginx version: nginx/1.xx.x
sudo systemctl status nginx
# Должен быть активен (active)
sudo mkdir -p /etc/nginx/ssl/banaworld.ru
sudo cp your_certificate.crt /etc/nginx/ssl/banaworld.ru/cert.pem
sudo cp your_private.key /etc/nginx/ssl/banaworld.ru/key.pem
sudo chmod 600 /etc/nginx/ssl/banaworld.ru/*.key
sudo chmod 644 /etc/nginx/ssl/banaworld.ru/*.pem
sudo chown root:root /etc/nginx/ssl/banaworld.ru/*
# Проверка сертификата
openssl x509 -in /etc/nginx/ssl/banaworld.ru/cert.pem -text -noout
# Проверка приватного ключа
openssl rsa -in /etc/nginx/ssl/banaworld.ru/key.pem -check
Создайте файл конфигурации /etc/nginx/nginx.conf:
sudo nano /etc/nginx/nginx.conf
Вставьте следующую конфигурацию (полностью замените содержимое):
user www-data;
worker_processes auto;
pid /run/nginx.pid;
error_log /var/log/nginx/error.log warn;
events {
worker_connections 1024;
use epoll;
multi_accept on;
}
http {
# Базовые настройки
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
keepalive_requests 100;
types_hash_max_size 2048;
server_names_hash_bucket_size 64;
# MIME типы
include /etc/nginx/mime.types;
default_type application/octet-stream;
# Логирование
access_log /var/log/nginx/access.log combined;
error_log /var/log/nginx/error.log warn;
# Gzip сжатие
gzip on;
gzip_disable "msie6";
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_min_length 256;
gzip_buffers 16 8k;
gzip_http_version 1.1;
gzip_types
text/plain
text/css
text/xml
text/javascript
application/json
application/javascript
application/xml
application/xml+rss
application/rss+xml
application/atom+xml
application/x-javascript
application/xhtml+xml
image/svg+xml;
# ============================================
# МАППИНГ СУБДОМЕНОВ НА ВИРТУАЛЬНЫЕ МАШИНЫ
# ============================================
map $subdomain $backend_host {
wiki 192.168.39.8:3000; # BM 1 - KKN сервис
git 192.168.39.9:3000; # ВМ 2 - API сервис
kkn 192.168.39.6; # BM 3 - KKN сервис
# px УДАЛЁН - обрабатывается отдельным сервером
default 192.168.39.8:3000; # Субдомен по умолчанию
}
# ============================================
# РЕДИРЕКТ HTTP -> HTTPS для всех субдоменов
# ============================================
server {
listen 80;
listen [::]:80;
# Принимаем все субдомены
server_name *.banaworld.ru banaworld.ru;
# Извлекаем субдомен из хоста
set $subdomain "";
if ($host ~* ^([a-z0-9-]+)\.banaworld\.ru$) {
set $subdomain $1;
}
if ($host = "banaworld.ru") {
set $subdomain "www";
}
# Редирект на HTTPS
return 301 https://$host$request_uri;
}
# ============================================
# ОТДЕЛЬНЫЙ СЕРВЕР ДЛЯ PROXMOX (HTTPS бэкенд)
# ============================================
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name px.banaworld.ru;
# SSL сертификаты для клиента
ssl_certificate /etc/nginx/ssl/banaworld.ru/cert.pem;
ssl_certificate_key /etc/nginx/ssl/banaworld.ru/key.pem;
# SSL настройки безопасности
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
# HSTS (HTTP Strict Transport Security)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# Безопасность
server_tokens off;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
location / {
# HTTPS бэкенд Proxmox + отключение проверки сертификата
proxy_pass https://192.168.39.131:8006;
proxy_ssl_verify off; # Игнорируем самоподписанный сертификат Proxmox
# Заголовки для передачи информации бэкенду
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Port $server_port;
# Таймауты
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
# Буферизация
proxy_buffering on;
proxy_buffer_size 16k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
# WebSocket поддержка (консоль VM/CT)
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# Скрытие информации о бэкенде
proxy_hide_header X-Powered-By;
}
}
# ============================================
# HTTPS СЕРВЕР для динамических субдоменов
# ============================================
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# Wildcard для всех субдоменов
server_name *.banaworld.ru banaworld.ru;
# ============================================
# SSL СЕРТИФИКАТЫ
# ============================================
ssl_certificate /etc/nginx/ssl/banaworld.ru/cert.pem;
ssl_certificate_key /etc/nginx/ssl/banaworld.ru/key.pem;
# Если есть цепочка сертификатов, раскомментируйте:
# ssl_trusted_certificate /etc/nginx/ssl/banaworld.ru/chain.pem;
# ============================================
# SSL НАСТРОЙКИ БЕЗОПАСНОСТИ
# ============================================
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
# HSTS (HTTP Strict Transport Security)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# ============================================
# БЕЗОПАСНОСТЬ
# ============================================
server_tokens off;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
# ============================================
# ИЗВЛЕЧЕНИЕ СУБДОМЕНА
# ============================================
set $subdomain "";
if ($host ~* ^([a-z0-9-]+)\.banaworld\.ru$) {
set $subdomain $1;
}
if ($host = "banaworld.ru") {
set $subdomain "www";
}
# ============================================
# ПРОКСИРОВАНИЕ на нужную ВМ
# ============================================
location / {
proxy_pass http://$backend_host;
# Заголовки для передачи информации бэкенду
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Port $server_port;
# Таймауты
proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;
# Буферизация
proxy_buffering on;
proxy_buffer_size 16k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
# WebSocket поддержка
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# Скрытие информации о бэкенде
proxy_hide_header X-Powered-By;
}
# ============================================
# ДОПОЛНИТЕЛЬНАЯ ЗАЩИТА для админки
# ============================================
location /admin/ {
# Ограничение по IP (опционально)
# allow 192.168.39.0/24;
# allow 10.0.0.0/8;
# deny all;
proxy_pass http://$backend_host;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
# ============================================
# ДЕФОЛТНЫЙ СЕРВЕР (ловит неизвестные запросы)
# ============================================
server {
listen 80 default_server;
listen [::]:80 default_server;
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
# SSL для дефолтного сервера
ssl_certificate /etc/nginx/ssl/banaworld.ru/cert.pem;
ssl_certificate_key /etc/nginx/ssl/banaworld.ru/key.pem;
# Возвращаем 404 для неизвестных субдоменов
return 404 "Субдомен не найден или не настроен";
}
}
# Проверка синтаксиса конфигурации
sudo nginx -t
# Если всё OK, перезагрузите Nginx
sudo systemctl reload nginx
# Или перезапустите полностью
sudo systemctl restart nginx
# Проверка статуса
sudo systemctl status nginx
Чтобы добавить новый субдомен, отредактируйте блок map в конфигурации:
map $subdomain $backend_host {
# ... существующие субдомены ...
# Новый субдомен
newapp 192.168.39.200:8080; # Новая ВМ
# ... остальные субдомены ...
}
Затем примените изменения:
sudo nginx -t && sudo systemctl reload nginx
Конфигурация включает современные настройки безопасности:
add_header X-Frame-Options "SAMEORIGIN" always; # Защита от clickjacking
add_header X-Content-Type-Options "nosniff" always; # Защита от MIME-sniffing
add_header X-XSS-Protection "1; mode=block" always; # Защита от XSS
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Для защиты админ-панели можно добавить IP-фильтрацию:
location /admin/ {
allow 192.168.39.0/24; # Разрешить локальную сеть
allow 203.39.113.10; # Разрешить конкретный IP
deny all; # Запретить всем остальным
proxy_pass http://$backend_host;
# ... остальные настройки
}
location /admin/ {
auth_basic "Restricted Area";
auth_basic_user_file /etc/nginx/.htpasswd;
proxy_pass http://$backend_host;
# ... остальные настройки
}
Создание файла .htpasswd:
# Установка утилиты
sudo apt install apache2-utils
# Создание пользователя
sudo htpasswd -c /etc/nginx/.htpasswd username
# Добавление пользователя
sudo htpasswd /etc/nginx/.htpasswd anotheruser
# Проверка синтаксиса
sudo nginx -t
# Проверка конфигурации с подробным выводом
sudo nginx -T
# Проверка запущенных процессов
ps aux | grep nginx
# Лог ошибок
sudo tail -f /var/log/nginx/error.log
# Лог доступа
sudo tail -f /var/log/nginx/access.log
# Логи для конкретного субдомена
sudo grep "git.banaworld.ru" /var/log/nginx/access.log
# Проверка доступности субдомена
curl -I https://git.banaworld.ru
# Проверка редиректа HTTP -> HTTPS
curl -I http://git.banaworld.ru
# Проверка сертификата
openssl s_client -connect git.banaworld.ru:443 -servername git.banaworld.ru | openssl x509 -noout -dates
# Проверка портов
sudo netstat -tlnp | grep nginx
# или
sudo ss -tlnp | grep nginx
Данная конфигурация распространяется по лицензии MIT. Используйте на своё усмотрение.
Для вопросов и предложений создавайте issue в репозитории или обращайтесь к администратору системы.
Последнее обновление: 30 января 2026 года
Версия конфигурации: 1.0.0