标签 nginx 下的文章

有如下需求:

我有一个域名 huangfeiqiao.com,我想在上面搭几个web应用,分别是foo、bar、baz。

一种办法就是在nginx的document root目录中建立foo、bar、baz目录,访问方式就是huangfeiqiao.com/foo、huangfeiqiao.com/bar等等。但这样有几个缺点——

  1. 某些web应用可能本身就不支持非根目录的方式访问,导致不可用
  2. 因为各个应用可能需要进行location的特殊配置,而这些应用不在根路径的时候,location配置可能有所不同,更加复杂
  3. 不够酷

需要让foo、bar、baz都拥有自己的子域名(foo.huangfeiqiao.com、bar.huangfeiqiao.com等等),可以这么做:

  1. 在域名服务商那里,加一个CNAME记录,把需要配置的子域名指向根域对应的主机名即可。
  2. 然后这么写nginx配置:
server {
    listen 80;
    listen 443 ssl;
    server_name  huangfeiqiao.com;
    # blah blah...
    # 设置子域名目录
    set $doc "";
    if ($host ~ ^(\w+)\.huangfeiqiao\.com$) {
        set $doc $1;
    }
    # www的话就是根目录
    if ($host = "www.huangfeiqiao.com") {
        set $doc "";
    }
    # 设置此时域名对应的root
    root /path/to/www/$doc;
    index index.html index.htm index.php;

    # 日志配置
    access_log  logs/$host.access.log  main;
    error_log  logs/error.log;
}

搞定。

这样做的好处就是,之后要加个子域名,只要在www目录中新建一个子目录,取子域名作为目录名,然后在域名服务商新增一条字域名的CNAME记录就搞定了,非常方便。

站点运行在nginx服务,然而我并不想使用root来跑这个服务,因此也没法使用80端口。于是想着是否可以使用iptables进行端口转发,将80端口的数据转发到nginx服务的端口8888。

在搜了一堆资料后,有了如下方法

#!/bin/bash
# nat表,PREROUTING链增加转发规则
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8888
# mangle表,PREROUTING链给发向8888的包做个标记
iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 8888 -j MARK --set-mark 1
# filter表,INPUT链,首先允许所有本地接口的数据包
iptables -t filter -I INPUT -i lo -j ACCEPT
# 然后拒绝所有被标记了1的包
iptables -t filter -A INPUT -m mark --mark 1 -j REJECT