Как сделать так, чтобы nginx не слушал http, а только https?

Question

[Роман Бурч]

server {
    listen 12345;
    server_name 1.1.1.1;

    return 301 https://$host:12345$request_uri;
}

server {
    listen 12345ssl;
    server_name 1.1.1.1;

    ssl_certificate     /etc/nginx/mtls/server.crt;
    ssl_certificate_key /etc/nginx/mtls/server.key;

    ssl_client_certificate /etc/nginx/mtls/ca.crt;
    ssl_verify_client optional;

    if ($ssl_client_verify != SUCCESS) {
        return 444;
    }

    location / {
        proxy_pass http://127.0.0.1:1010;

        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-SSL-Client-DN $ssl_client_s_dn;
    }
}

Я уже перепробовал всё, но даже не могу понять как сделать хотя бы редирект на https. Он мне в http выдаёт заглушку nginx, но я хочу делать либо редирект, либо не отдавать вообще ничего 444, а в идеале, вообще таймаут соединения:
400 Bad Request
The plain HTTP request was sent to HTTPS port
nginx

Comments

[Everything_is_bad]

чтобы nginx не слушал http

как сделать хотя бы редирект на https

определись уже что именно ты хочешь

[Роман Бурч]

Everything_is_bad, Зачем ты пишешь? Тебе заняться нечем?

[Everything_is_bad]

Роман Бурч, я пишу чтобы у особо одаренного выяснить, что именно он хочет, потому что он указал две разные хотелки. А вообще странно видеть, с уточняющего вопроса, подрыв пердака у ТС.

[Алексей Ярков]

Что ж ты, фраер, сдал назад?

[Daemon23RUS]

Everything_is_bad, Плюсом вангую, что конфиг чатжэпити запилил. Тут уже работает математика и статистика, где прямо коррелирует использование оного и подрыв выше обозначенного в общении с живыми людьми.

[Виктор Таран]

найди в папке nginx все конфиги с упоминанием 80 порта включая дефолтнйый конфиг.
Да там есть такой окторый отвечает за любой не частный случай,удали конфиг получи счастье.
По факту у тебя в site-enabled должен лежать только твой сайт с 443

[Роман Бурч]

Виктор Таран, Спасибо за адекватный ответ.
Я работаю сугубо над одним портом. У меня не слушаются 80 и 443 порты. У меня слушается только 1 опрелённый порт. Я это уже всё проверял и настроил. Моя проблема заключается в том, что у меня ресурс лежит на https, и слушает только 12345 ssl, но если используется http запрос, то nginx выпадает в 400 ошибку. Я не могу ни отключить проверку http на этот порт, ни создать перенарпавление.
Если я делаю его default_server, то у меня перестают работать ssl ключи пропуска

[Виктор Таран]

так погоди давай проясним ситуацию
1. http и https отличаются не 1 буковй а принципиально отличаются друг от друга, будем разбирать их отдельно.
2. Если говорим о РЕАЛЬНОМ http то все просто отключаем везде 80 порт, везде включая дефолт.
3. Если мы говорим о https то тут все куда как интереснее.
и так
1. включив его на 1 сайте мы не можем его отключить никак нигде и ничем, поскольку он работает по другому принципу.
В http ты получаешь имя сайта от браузера поитом по этому заголовку подбираеттся конфиг, если конфига нет то берется default
2. https принципиально по другому, как ты думаешь отдаст тебе сайт заголовок, то есть часть контента, перед тем как получит ключи ?
Правильно ответ нет НЕТ принциииально НЕТ!
То есть мы не можем знать какой конфиг подставить НИКАК !
И того , если у нас есть ключи и они подходят то все здорово,
А вот если у нас А запись ссылается на твой сервер где есть https ТО без ключа нельзя получить заголовок а без него вообще ничего нельзя сделать, и как ты думаешь как решить эту делему, то есть ты даже не можешь запретить этому сайту отдать хоть что-то поскольку не знаешь че это за сайт ( дальше обьясню но это что-то может быть твой сайт)
Все просто
Берется на отьебись ПЕРЫЙ по названию конфиг и его ключи, подставляются именно они,
Именно по этому конфиг дефолта нужно называть 000-default.conf ну и соответственно отдастся этот сайт !!!
НА ЛЮБЫЕ ЗАПРОСЫ к которым не подошли ключи, другого способа нет !
И только в дефолте ты можешь уже задать ловушку скажем в 403 кодом но это все, полностью закрыть порт ты не можешь!

Ладно я ушел в дербир, давай по сути
listen 12345ssl; - ошибка раз, такого синтаксиса нет

user  nginx;
worker_processes auto;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events {
    worker_connections 1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format main '$remote_addr - $ssl_client_s_dn [$time_local] '
                    '"$request" $status $body_bytes_sent';

    access_log /var/log/nginx/access.log main;

    sendfile        on;
    keepalive_timeout  65;

    ##
    ## HTTP — рвём соединение
    ##
    server {
        listen 12345;
        server_name _;

        return 444;
    }

    ##
    ## HTTPS + mTLS
    ##
    server {
        listen 12345 ssl;
        server_name _;

        # Сертификат сервера
        ssl_certificate     /etc/nginx/mtls/server.crt;
        ssl_certificate_key /etc/nginx/mtls/server.key;

        # CA для клиентских сертификатов
        ssl_client_certificate /etc/nginx/mtls/ca.crt;
        ssl_verify_client on;

        # Нормальные параметры TLS
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_pass http://127.0.0.1:1010;

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $remote_addr;
            proxy_set_header X-Forwarded-Proto https;
            proxy_set_header X-SSL-Client-DN $ssl_client_s_dn;
        }
    }
}

[Dmitry]

вот это вот listen 12345ssl; выглядит как какой-то болезненный бред.
вывод команд
nginx -T
и
nginx -t
в студию

[Роман Бурч]

Почему бред? я указываю слушать входящие соединения ssl, потом использую "ssl_verify_client optional;" где при optional я решаю что делать, если не прошёл по сертификату. Но опять же, это почему-то работает только для https, но для http на этот же порт не работает и nginx выдаёт свою затычку в виде 400 ошибки
---
2025/12/21 19:54:13 [warn] 4152436#4152436: the "listen ... http2" directive is deprecated, use the "http2" directive instead in /etc/nginx/sites-enabled/jenkin s-mtls:2
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
# configuration file /etc/nginx/nginx.conf:
user www-data;
worker_processes auto;
worker_cpu_affinity auto;
pid /run/nginx.pid;
error_log /var/log/nginx/error.log;
include /etc/nginx/modules-enabled/*.conf;

events {
worker_connections 768;
# multi_accept on;
}

http {

##
# Basic Settings
##

sendfile on;
tcp_nopush on;
types_hash_max_size 2048;
server_tokens off; # Recommended practice is to turn this off

# server_names_hash_bucket_size 64;
# server_name_in_redirect off;

include /etc/nginx/mime.types;
default_type application/octet-stream;

##
# SSL Settings
##

ssl_protocols TLSv1.2 TLSv1.3; # Dropping SSLv3 (POODLE), TLS 1.0, 1.1
ssl_prefer_server_ciphers off; # Don't force server cipher order.

##
# Logging Settings
##

access_log /var/log/nginx/access.log;

##
# Gzip Settings
##

gzip on;

# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

##
# Virtual Host Configs
##

include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}

# configuration file /etc/nginx/sites-enabled/blackhole-http:

# configuration file /etc/nginx/sites-enabled/jenkins-mtls:
server {
listen 12345 ssl http2;
server_name 1.1.1.1;

ssl_certificate /etc/nginx/mtls/server.crt;
ssl_certificate_key /etc/nginx/mtls/server.key;

ssl_client_certificate /etc/nginx/mtls/ca.crt;
ssl_verify_client optional;

if ($ssl_client_verify != SUCCESS) {
return 444;
}

location / {
proxy_pass 127.0.0.1:8080;

proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_set_header X-SSL-Client-DN $ssl_client_s_dn;
}
}
---
2025/12/21 19:56:56 [warn] 4153682#4153682: the "listen ... http2" directive is deprecated, use the "http2" directive instead in /etc/nginx/sites-enabled/jenkins-mtls:2
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
---

[Роман Бурч]

Виктор Таран,
Связка прослушки одного порта
server {
listen 12345;
server_name _;

return 444;
}

##
## HTTPS + mTLS
##
server {
listen 12345 ssl;
server_name _;
Вызывает ошибку, без назначения default_server. Но при назначении такового на что-либо, начинает игнорироваться другой сервер, в итоге мы видим ту же самую картину, когда на обычный http порт прилетает заглушка от nginx. Как я понимаю, она прилетает ещё до входа в server {}, по этому, конфигом это не получается отредактировать...

Answer 1

[nokimaro]

Если не получается заставить nginx перестать принимать запросы на 80й порт, то закрой входящие соединения на 80й порт через файрвол ;-)

p.s. а так на вскидку

• надо после правки конфига не забыть сделать reload/restart
  
• может быть где-то валяется default конфиг с указанным listen 80 либо там может быть listen ip.ip.ip.ip без порта, то тоже по дефолту будет означать "слушай 80й порт"
  

поискать конфиги со строчкой listen
find /etc/nginx -type f -exec grep listen {} +

Comments

[Роман Бурч]

Привет. Спасибо за адекватный ответ. Нет, у меня не слушаются ни 80 порты, ни 443. Я пытаюсь работать сугубо над одним портом
$ sudo grep -R "listen 80" /etc/nginx
$

Дефолтных у меня тоже нету, они все удалены
$ sudo grep -R "listen" /etc/nginx
/etc/nginx/sites-enabled/jenkins-mtls: listen 12345ssl http2;
/etc/nginx/sites-available/jenkins-mtls: listen 12345ssl http2;
/etc/nginx/nginx.conf:# listen localhost:110;
/etc/nginx/nginx.conf:# listen localhost:143;

Моя проблема в том, что я не могу сделать редирект с 1.1.1.1:12345 на https://1.1.1.1:12345, либо вообще закрыть прослушку http...

Answer 2

[Shurik]

у вас два сервера слушают один и тот же порт - 12345
должно быть типа 80 - http и 443 - https
и соответственно в дерриктиве перенаправления return 301 https://$host:12345$request_uri; указать 443
Я бы начал с этого.

Comments

[Роман Бурч]

Спасибо за адекватный ответ. Да, у меня оба сервера слушают один порт. Я просто пытался одним закрыть http запросы, но не выходит. Я работаю сугубо над одним портом, который закрыт mTLS сертификатом и все остальные порты 80 и 443 не должны отвечать вообще.
$ sudo grep -R "listen" /etc/nginx
/etc/nginx/sites-enabled/jenkins-mtls: listen 12345ssl http2;
/etc/nginx/sites-available/jenkins-mtls: listen 12345ssl http2;
/etc/nginx/nginx.conf:# listen localhost:110;
/etc/nginx/nginx.conf:# listen localhost:143;

Я просто хочу что-то сделать с http запросом на сервер. Если я не могу не слушать его, то хотя бы сделать перенаправление

[Shurik]

Роман Бурч, насколько я сам понимаю, 80 для http и 443 для https - это порты по-умолчанию. Т.е. 443 делает https только наличие в описании сервера дирректив с сертификатами. По идее эту функцию может выполнять любой другой порт.
В вашем случае вы используете один порт - тогда и описывайте именно один. Если обращение к сверверу из браузера, то он по-умолчанию обращается к 80 в случае http, а в случае https - к 443. Вам тогда надо сделать редирект с этих портов на свой 12345

Ниже товарищ указал на синтаксис. Да надо не listen 12345ssl; а listen 12345 ssl; Посмотрите документацию. Там все доступно написано.

[Роман Бурч]

Shurik, Я прошу прощения "12345ssl" моя опечатка при правке сообщения, я сразу её заметил и не подумал, что она сможет кого-то запутать.
Я понимаю ваш ход мыслей, но тут проблема заключается в том, что светить этим сервером в сети не желательно, а на одном единственном порту находится защищённый рабочий ресурс, по этому вполне объективное преложение редиректить с 80 и 443 портов на 12345 мне немного не подходит.

На данный момет обращение на абсолютно любой порт вызывает таймаут соединения, так как пакеты уходят в никуда. Я надеялся сделать так, чтобы при http запросе на порт 12345 я так же получал таймаут соединения. Но если это не выходит, то хотя-бы делать редирект на https с портом 12345...

Answer 3

[Hardoman]

Твои хотелки конфликтуют между собой.
Если ты не хочешь ответа по http (таймаут), то убери целиком блок с
listen 12345;

Второе - нельзя, чтобы два блока server слушали один порт, будет выполняться только первый.

Третье. Если ты хочешь редирект на ssl, то порты для ssl и не-ssl должны быть разные.

400-е ошибки вообще-то шлёт клиента
400 Bad Request
The plain HTTP request was sent to HTTPS port
Означает, что на ssl порт пошли по протоколу http, поэтому неверный запрос. К конфиге nginx отношения не имеет