Dawarich项目Nginx反向代理配置问题解析

问题背景

在使用Dawarich项目时，许多用户遇到了"Blocked hosts"错误提示，特别是在配置Nginx反向代理时。这个错误通常表现为系统拒绝访问并提示需要将域名添加到环境变量配置中。本文将深入分析这个问题的成因及解决方案。

错误现象分析

当用户通过Nginx Proxy Manager(NPM)访问Dawarich时，系统会返回类似以下错误信息：

Blocked hosts: tracks.mydomain.nl, tracks.mydomain.nl
要允许访问这些主机，请确保它们是有效的主机名(仅包含数字、字母、破折号和点号)，然后将以下内容添加到环境配置中：
config.hosts << "tracks.mydomain.nl, tracks.mydomain.nl"

这个错误表明Rails的安全机制Host Authorization正在阻止请求，因为它无法识别请求来源的主机名。

常见排查步骤

1. 环境变量配置：确保在docker-compose.yml中正确设置了APPLICATION_HOSTS变量，包含所有可能访问的主机名和IP地址。例如：

   APPLICATION_HOSTS: "localhost,tracks.mydomain.nl,dockerhostname,192.168.2.220"
   

2. DNS设置验证：确认DNS A记录正确指向服务器公网IP，并确保端口转发(80和3000)配置正确。

3. 直接访问测试：绕过反向代理直接通过IP:3000访问服务，验证基础功能是否正常。

Nginx Proxy Manager的特殊配置

经过深入分析发现，Nginx Proxy Manager与标准Nginx配置存在差异。许多用户按照标准Nginx配置添加了location块，这反而导致了问题：

location / {
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto https;
    proxy_set_header X-Forwarded-Server $host;
    proxy_set_header Host $http_host;
    proxy_redirect off;
}

实际上，在Nginx Proxy Manager中，只需以下简单配置即可：

1. 设置基本的转发规则
2. 启用WebSocket支持

无需添加额外的location配置，多余的header设置反而会干扰Dawarich对原始主机的识别。

解决方案总结

1. 简化NPM配置：移除所有自定义的location和header设置，仅保留基本转发和WebSocket支持。

2. 正确设置环境变量：确保APPLICATION_HOSTS包含所有可能的访问方式(IP、域名、本地主机名)。

3. 验证顺序：先确保直接访问服务正常，再逐步添加反向代理层进行测试。

通过以上步骤，大多数"Blocked hosts"问题都能得到解决。关键在于理解Dawarich的安全机制与Nginx Proxy Manager的默认行为之间的交互方式。