Михаил Григорьев

Проксирование nginx методом https -> http, не прокатывает, так как jira возмущается и не правильно работает. Соответственно для Jira была настроена Catalina на работу с https с портом 8883, в результате при обращении на этот порт все работает.

1. Настройте Jira на работу по http only либо на работу в 2-х режимах - http и https - такое возможно, мануалы есть, пользуйтесь гуглом.
2. Как и посоветовал ТыжСисАдмин , настройте проксирование nginx https -> jira http - это будет самое правильное решение.

1. Кусок

server {
        listen 80;
        server_name universal-chat.net *.universal-chat.net;
        return 301 https://$host$request_uri;
}

Замените на 2 блока, так будет правильнее и тогда:

server {
        listen 80;
        server_name universal-chat.net www.universal-chat.net;
        return 301 https://universal-chat.net$request_uri;
}
server {
        listen 80;
        server_name api.universal-chat.net;
        return 301 https://api.universal-chat.net$request_uri;
}

Читаем статью для просвещения.

2. Рекомендую поменять еще некоторые дерективы:

worker_processes 4;
на
worker_processes auto;

Добавить
worker_cpu_affinity auto;
worker_shutdown_timeout 30;

30 замените на ваше желаемое число, см офф. документация

Добавить в секцию http директиву:
server_tokens off;

Если у Вас используется
sendfile on;
то разумно выставить
sendfile_max_chunk 128k;
Она ограничивает объём данных, который может передан за один вызов sendfile(). Нужно для исключения ситуации когда одно соединение может целиком захватить воркер.

По желанию добавить в секцию http:
keepalive_timeout 60s;
keepalive_requests 500;
client_body_timeout 30s;
client_max_body_size 256m;
send_timeout 30s;
types_hash_max_size 2048;
server_names_hash_max_size 8192;
server_names_hash_bucket_size 128;

Тестируем редиректы так:

curl -D - -o /dev/null -s http://universal-chat.net

и

curl -D - -o /dev/null -s http://api.universal-chat.net

В /etc/fail2ban/jail.conf в параметре action указывается конфигурация из каталога /etc/fail2ban/action.d

А вообще Google Вам в помощь
https://blog.mypapit.net/2015/08/how-to-send-fail2...

Если не хотите использовать telegram-cli, то в /usr/share/fail2ban/fail2ban-telegram.sh напишите замену telegram-cli на curl

Прежде чем удалять /data/2017, мне нужно точно убедиться, что данные берутся именно из /mnt/2017.

1. Отключите в конфиге nginx использование /data/2017 и станет сразу все понятно, откуда будут браться ваши данные.
2. Не удаляйте /data/2017, а просто переименуйте например в /data/2017.old, поживите так N дней, проверьте что все работает корректно.
3. Анализируйте access.log на предмет 404 для файлов которые лежали в /data/2017, а сейчас уже берутся из /mnt/2017
4. Только убедившись, что все хорошо, удаляйте /data/2017

Что не нравится Nginx?

nginx не нравится, что Вы подсунули ему неправильный файл сертификата cert.crt, правильный должен иметь примерно такой вид (многострочный):

-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
................
................
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

Сделайте:

openssl x509 -in /etc/ssl/certs/domains/sea3.ru/cert.crt -noout -text -purpose

Если файл сертификата корректный, то вы увидите всю информацию о сертификате, иначе будет ошибка.

Когда захожу в конфиг GNIX на 192.168.0.2, там 2 файла и вот что там прописано:

Вы что-то не договориваете или не понимаете и пишите не полную информацию.

Где это сервер (192.168.0.2) на вашей картинке?
Откуда все таки вы взяли конфиг nginx, с какого сервера? По моему это конфиг с сервера виртуального сервера 10.102.10.32, потому что его IP фигурирует.

У вас на картинке есть роутер, если я правильно понял внешний динамический IP от провайдера получает именно он и на нем же ddns.
Тогда вопрос: Какие правила редиректа подключений на 80 порт есть на этом роутере?