Désactiver IPv6 dans nginx proxy_pass

18

Mon serveur n'a pas d'adresse IPv6.

Cependant, lorsque j'utilise Nginx proxy_pass en amont avec IPv4 et IPv6, il essaie parfois d'envoyer des demandes sortantes en utilisant IPv6:

2013/07/30 00:25:06 [error] 1930#0: *1482670 connect() to [AAAA:BBBB:C:DDD:E:F:GGG:HHH]:443 failed (101: Network is unreachable) while connecting to upstream, client: AA.BB.CC.DD, server: example.com, request: "GET /download/file HTTP/1.0", upstream: "https://[AAAA:BBBB:C:DDD:E:F:GGG:HHH]:443/download/file", host: "example.com"

Comment puis-je désactiver IPv6 pour les demandes sortantes dans proxy_pass?

nginx.conf:

upstream download {
  server download.example.com:443;
  keepalive 8;
}

location /download {
  proxy_set_header      X-Forwarded-For  $proxy_add_x_forwarded_for;
  proxy_set_header      Connection "";
  proxy_ignore_headers  X-Accel-Redirect;
  proxy_http_version    1.1;
  resolver              8.8.8.8;
  resolver_timeout      5s;
  proxy_pass            https://download;
}

nginx -V:

nginx version: nginx/1.4.2
built by gcc 4.7.2 (Debian 4.7.2-5)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-mail --with-mail_ssl_module --with-file-aio --with-http_spdy_module --with-cc-opt='-g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,-z,relro --with-ipv6

Système d'exploitation: Debian Wheezy

Linux 3.2.0-4-amd64 #1 SMP Debian 3.2.46-1 x86_64 GNU/Linux

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 6c:62:6d:7a:ea:af brd ff:ff:ff:ff:ff:ff
    inet XXX.XXX.XXX.XXX/27 brd XXX.XXX.XXX.XXX scope global eth0
Anton
la source
Est-ce que cela se produit après vous sudo sysctl -w net.ipv6.bindv6only=0?
Flup
Flup, net.ipv6.bindv6only = 0 n'aide pas
Anton
Cela semble définitivement faux. Vous devez avoir au moins des adresses de liaison locale IPv6. Quels changements avez-vous ou votre fournisseur apporté à la configuration de ce serveur?
Michael Hampton
Nous avons ajouté uniquement net.ipv6.conf.all.disable_ipv6 = 1. Notre fournisseur n'attribue pas IPv6 via DHCP, il doit donc être configuré manuellement.
Anton
Est-il possible de résoudre ce problème spécifiquement avec la configuration nginx, sans modifier les paramètres système globaux?
Dmitry Polushkin

Réponses:

1

L'utilisation de resolvern'a pas fonctionné pour moi lors de l'utilisation proxy_passd'une URL https. J'ai dû modifier le sysctl.

  1. Ajoutez les lignes suivantes /etc/sysctl.conf.
    net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 net.ipv6.conf.eth0.disable_ipv6 = 1 net.ipv6.conf.eth1.disable_ipv6 = 1 net.ipv6.conf.eth2.disable_ipv6 = 1 net.ipv6.conf.eth3.disable_ipv6 = 1
  2. Redémarrez le système avec sysctl -p.
  3. Redémarrez nginx avec sudo nginx -s reload.
Gabriel
la source
Résolu mon problème de proxy sur flickr.
GaryBishop Il y a
Il a résolu mon problème, mais maintenant le journal des erreurs affiche des plaintes (99: impossible d'attribuer l'adresse demandée) même si la demande réussit apparemment. Je voudrais juste savoir comment l'empêcher d'essayer l'adresse ipv6.
GaryBishop Il y a
0

Aucune des solutions ci-dessus n'a fonctionné pour moi, il semble que les définitions de résolveur soient utilisées dans certains cas particuliers par Nginx, et il résout généralement l'IP à l'aide du résolveur système.

Ma dernière solution a été de définir un IPv4 unique pour mon hôte proxy dans / etc / hosts et de redémarrer Nginx

Ali Nadalizadeh
la source