Подружить Symfony и nginx?

Question

[navion]

После включения конфигурации отсюда, заработало практически всё, кроме ограничения доступа к админке, находящейся по адресу имя_сайта/admin.



В Apache это реализовано через admin/.htaccess:

AuthType Basic

AuthName «Restricted access»

AuthUserFile /etc/httpd/htpasswd/sitename

Require user admin manager



Order Deny,Allow

Deny from all

Allow from 192.168.0.0/24

Пытаюсь сделать по аналогии через location (для начала хватит только ограничения по IP):

location /admin {

rewrite ^(.*) /admin/index.php$1 last;

allow 192.168.0.0/24;

deny all;

}

Но в этом случае не передаётся лишь статика, а контент, создаваемый PHP, доступен всему интернету.

Comments

[Sergey]

Зачем строка «rewrite ^(.*) /admin/index.php$1 last;»?

[navion]

Она перенаправляет запросы к admin/index.php, иначе они идут к index.php, который про админку ничего не знает и возвращает главную страницу.

Answer 1

[UncleByte]

По-хорошему конфиг из приведенной ссылки нужно переписать с учетом рекомендаций отсюда — wiki.nginx.org/Pitfalls
В этом случае не понадобится указывать ничего в location /admin кроме, собственно, настроек доступа.

Comments

[UncleByte]

В частности убрать все if и использовать try_files или просто локейшны файловые

location ~* ^.+\.(jpg|jpeg|gif|png|ico|mp3|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|dat|avi|ppt|txt|tar|mid|midi|wav|bmp|rtf|wmv|mpeg|mpg|tbz|js)$

[navion]

С файловым локейшеном статику перестаёт отдавать вообще.

Ещё попробовал конфигурацию отсюда, в этом случае выдаёт «Access denied» вместо главной страницы. Возможно это связано со старой версией фреймворка (symfony version 1.0.5-PRE), но обновить её нет возможности.

[UncleByte]

Немного переработал первый конфиг и добавил кое-что из своих, попробуйте и будем думать дальше:

server {
	set $website_host "mywonderfulwebsite.org";
	set $website_root "/var/www/mywonderfulwebsite/web";
	set $default_controller "index.php";
	set $symfony_root "/var/www/mywonderfulwebsite/lib/vendor/symfony";

	listen 80;
	server_name $website_host;

	merge_slashes on;

	# Gzip
	gzip on;
	gzip_min_length 1000;
	gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript;
	gzip_disable "MSIE [1-6]\.";

	access_log /var/log/nginx/$website_host.access.log;

	root $website_root;

	index $default_controller;

	charset utf-8;
	
	location / {
		try_files $uri $uri/ /$default_controller;
	}

	location /sf {
		# path to folder where all symfony assets are located
		alias $symfony_root/data/web/sf;
		expires max;
	}

	location /admin {
		allow 192.168.0.0/24;
		deny all;
	}

	location ~ \.php$ {
		try_files $uri index.php;
		fastcgi_pass php-fpm;
		fastcgi_index index.php;
		fastcgi_intercept_errors on;
		fastcgi_read_timeout 600;
		fastcgi_send_timeout 600;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
		fastcgi_param SCRIPT_NAME $fastcgi_script_name;
		fastcgi_param PATH_INFO $fastcgi_script_name;
		fastcgi_param QUERY_STRING $args;
		include /etc/nginx/fastcgi_params;
	}
	
	### static files

	location ~* ^.+\.(jpg|jpeg|gif|png|ico|mp3|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|dat|avi|ppt|txt|tar|mid|midi|wav|bmp|rtf|wmv|mpeg|mpg|tbz|js)$ {
		expires max;
		valid_referers none blocked server_names
			~\.google\. images\.yandex\. ~\.yandex\. ;
			if ($invalid_referer) {return 444;}
		
		log_not_found off;
		error_page 404 = /404/;
		
	}
}

[navion]

К админке стало выдавать 403 страницу, но статику так и не отдаёт. Конфиг получился такой (пришлось поправить fastcgi и путь к /sf):

server {
    set $website_host "mysite.cloudapp.net";
    set $website_root "/var/www/mysite/web";
    set $default_controller "index.php";
    set $symfony_root "/var/www/mysite/lib/symfony";

    listen 80;
    server_name $website_host;

    merge_slashes on;

    # Gzip
    gzip on;
    gzip_min_length 1000;
    gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript;
    gzip_disable "MSIE [1-6]\.";

    access_log /var/log/nginx/$website_host.access.log;

    root $website_root;

    index $default_controller;

    charset utf-8;

    location / {
        try_files $uri $uri/ /$default_controller;
    }

    location /sf {
        # path to folder where all symfony assets are located
        alias /var/www/mysite/web/sf/;
        expires max;
    }

    location /admin {
        allow 192.168.0.0/24;
        deny all;
    }

    location ~ \.php$ {
        try_files $uri index.php;
        set $script $uri;
        set $path_info "/";
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_param SCRIPT_FILENAME $website_root$script;
        fastcgi_param SCRIPT_NAME $script;
        fastcgi_param PATH_INFO $path_info;
    }

    ### static files

    location ~* ^.+\.(jpg|jpeg|gif|png|ico|mp3|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|dat|avi|ppt|txt|tar|mid|midi|wav|bmp|rtf|wmv|mpeg|mpg|tbz|js)$ {
        expires max;
        valid_referers none blocked server_names
            ~\.google\. images\.yandex\. ~\.yandex\. ;
            if ($invalid_referer) {return 444;}

        log_not_found off;
        error_page 404 = /404/;

    }
}

[UncleByte]

А в логах что пишет? Статику не отдает с ответом 444?

[navion]

Да, возвращает 444 для статики.

[navion]

Добавил урл сайта в valid_referers и статику начало отдавать, но ни одна ссылка не работает — все возвращают главную страницу.

[navion]

Подправил конфиг, вот рабочая версия:

server {
    set $website_host "mysite.cloudapp.net";
    set $website_root "/var/www/mysite/web";
    set $default_controller "index.php";
    set $symfony_root "/var/www/mysite/lib/symfony";

    listen 80;
    server_name $website_host;

    merge_slashes on;

    # Gzip
    gzip on;
    gzip_min_length 1000;
    gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript;
    gzip_disable "MSIE [1-6]\.";

    access_log /var/log/nginx/access.log;

    root $website_root;

    index $default_controller;

    charset utf-8;

    location / {
        try_files $uri $uri/ /$default_controller;
    }

    location /sf {
        alias $symfony_root/data/web/sf;
        expires max;
    }

    location /admin {
        allow 192.168.0.0/24;
        deny all;
    }

    location ~ \.php$ {
        try_files $uri index.php;
        set $script $uri;
        set $path_info $2;

        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;

        fastcgi_param SCRIPT_FILENAME $website_root$script;
        fastcgi_param SCRIPT_NAME $script;
        fastcgi_param PATH_INFO $path_info;
    }

    location ~* ^.+\.(jpg|jpeg|gif|png|ico|mp3|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|dat|avi|ppt|txt|tar|mid|midi|wav|bmp|rtf|wmv|mpeg|mpg|tbz|js)$ {
        expires max;
        valid_referers none blocked server_names
            ~\.google\. images\.yandex\. ~\.yandex\. $website_host;
            if ($invalid_referer) {return 444;}

        log_not_found off;
        error_page 404 = /404/;
    }
}

Вроде не наделал откровенных косяков? В любом случае, большое спасибо за помощь!

[navion]

Почему же на Хабре дают всего 2 минуты на редактирование? Хотя сам виноват, надо вначале получше проверить — в админке есть дополнительный уровень uri вида mysite/admin/url.
Я плохо понимаю логику передачи парметров скрипту, возможно нужно как-то изменить $path_info?

Answer 2

[UncleByte]

Я бы вот эту часть все-таки переписал бы

location ~ \.php$ {
        try_files $uri index.php;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
	fastcgi_index index.php;
	fastcgi_intercept_errors on;
	fastcgi_read_timeout 600;
	fastcgi_send_timeout 600;
	fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
	fastcgi_param SCRIPT_NAME $fastcgi_script_name;
	fastcgi_param QUERY_STRING $args;
    }

То есть без установки дополнительных переменных.

Comments

[navion]

Так и сделал, сейчас оставив лишь это:

nginx

    location ~ \.php$ {
        try_files $uri index.php;

        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
    }

Но с админкой та же проблема, вместо передачи $uri в качестве парметра для admin/index.php, происходит поиск обычного файла в папке admin:

GET /admin/headers HTTP/1.1" 404 571 "http://mysite.cloudapp.net/admin/"

В оригинале там было следующее правило:

.htaccess

<IfModule mod_rewrite.c>
  RewriteEngine On

  # we skip all files with .something
  RewriteCond %{REQUEST_URI} \..+$
  RewriteCond %{REQUEST_URI} !\.html$
  RewriteRule .* - [L]

  # we check if the .html version is here (caching)
  RewriteRule ^$ index.html [QSA]
  RewriteRule ^([^.]+)$ $1.html [QSA]
  RewriteCond %{REQUEST_FILENAME} !-f

  # no, so we redirect to our front web controller
  RewriteRule ^(.*)$ index.php [QSA,L]
</IfModule>

Answer 3

[UncleByte]

А можно посмотреть какого вида там вообще uri бывают? Просто чтоб понять.

Comments

[navion]

Кнопка редактирования элемента из списка вызывает такой запрос:
GET /admin/solutions/edit/id/1

[UncleByte]

Тогда, может быть поможет написать вот так

location /admin {
	allow 192.168.0.0/24;
	deny all;
	try_files $uri $uri/ /$default_controller;
}

[navion]

Теперь вместо 404 направляет на главную страницу через 302 редирект.

[UncleByte]

Как-то странно. А если убрать вовсе строку

index $default_controller;

Что получится?

[navion]

Если убрать, то работает лишь главная страница админки (admin/index.php), а при клике на лубую ссылку выдаёт 404.