今天,在CentOS上配了nginx,代理一个node http server,node server跑在3000端口上,nginx监听80端口,转发所有http请求到node server,配好之后,发现通过域名访问node app,出现无法访问的页面。单独访问nginx和带端口访问node app都ok,查nginx log发现是SELinux Permission配置问题。
现将问题,分析和解决方案记录如下,以供以后学习整理。
环境:CentOS7, nginx 1.8.0,nodejs 0.10.36.
nginx 和 nodejs http server跑在同一台CentOS上。
配置:
1. nginx conf
upstream backend {
server 127,0.0.1:3000;
}
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://backend;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
2. nodejs http server 监听 3000端口
问题:
通过域名访问node app,出现无法访问的页面。
分析:
查看nginx log (/var/log/nginx/error.log) 发现:
2016/01/26 04:13:12 [crit] 6951#0: *3 connect() to 127.0.0.1:3000 failed (13: Permission denied) while connecting to upstream, client: *.*.*.*(此处IP省略), server: localhost, request: “GET / HTTP/1.1”, upstream: “http://127.0.0.1:3000/”, host: “www.*”(此处域名省略)
因为CentOS在内核中使用的是 SELinux(Security-Enhanced Linux) ,而SELinux对访问控制是有严格的设置的,推断应该是SELinux Permission 设置的问题。
解决方案:(以下命令均需要有root权限执行,任意一种方案均可以解决该问题)
1. 开启httpd_can_network_connect
setsebool httpd_can_network_connect on (当前session生效)
setsebool -P httpd_can_network_connect on
(持久化保存设置)
另外,可以使用getsebool -a | grep httpd 查看当前httpd的设置
2. 开放相应的http server连接端口号
semanage port -a -t http_port_t -p tcp 3000
因为SELinux默认只开放指定端口(80, 81, 443, 488, 8008, 8009, 8443, 9000)提供http连接,添加nodejs http server监听的端口号即可使用nginx与之建立连接。
另外,可以使用semanage port –list | grep http 查看当前支持http连接的端口号
这个方案的好处是,安全,但后续如果有新的本地代理server跑在不同的端口上,需要重复上述操作。