Wie entscheidet nginx, welchen Server-Block es fuer einen eingehenden Request nutzt?

Es schaut den **Host-Header** des Browsers an und matcht ihn gegen das [[server_name||die Direktive, die die Domains eines Blocks listet]] jedes Blocks, der auf demselben Port lauscht. Match-Prioritaet: **exakter Name** gewinnt (`example.de`), dann **fuehrendes Wildcard** (`*.example.de`), dann **abschliessendes Wildcard** (`example.*`), dann **Regex**. Matcht nichts, wird der **default_server** fuer diesen Port genutzt (der erste Block auf diesem Port, wenn keiner explizit markiert ist). Deshalb sind "falsche Seite wird gezeigt"-Bugs fast immer server_name-Probleme.

Was ist der Unterschied zwischen `listen 80` und `listen 443 ssl`?

**Port 80** ist plain HTTP, keine Verschluesselung. **Port 443** ist HTTPS, und das `ssl`-Flag sagt nginx, TLS-Handshakes auf diesem Socket zu fahren und `ssl_certificate` und `ssl_certificate_key` zu lesen. Eine moderne Seite braucht **beide Bloecke**: einen auf 80, der auf https redirected, einen auf 443, der die echte Arbeit macht. Dieser Builder generiert das Paar, wenn du *Add HTTP to HTTPS redirect* zusaetzlich zu *Add SSL block* flippst.

Wie waehlen nginx-[[location||ein Block, der einen Teil des URL-Pfads matcht und Regeln darauf anwendet]]-Bloecke aus, welcher anzuwenden ist?

Match-Prioritaet, in Reihenfolge: **exakter Match** (`location = /favicon.ico`) gewinnt; dann gewinnt **laengstes Prefix mit `^~`** direkt; dann **Regex** (`location ~ \.php$`) in Reihenfolge; dann **regulaeres Prefix** (`location /api`). Sobald ein Regex matcht, hoert nginx auf zu suchen, die spezifischsten Regeln also zuerst. Fuer eine einzelne Static- oder Proxy-Seite reicht ein `location /`.

Warum verhaelt sich `proxy_pass http://app/` (mit Trailing-Slash) anders als `proxy_pass http://app` (ohne)?

Mit **Trailing-Slash** **strippt nginx das Location-Prefix** vor dem Forwarden. `location /api/ { proxy_pass http://app/; }` macht aus `/api/users` ein `/users` fuer das Backend. **Ohne** Trailing-Slash wird **as is** weitergeleitet: `/api/users` bleibt `/api/users`. Beides ist gueltig, beides beisst Leute, die vergessen, welches sie geschrieben haben. Tipp: ist dein Backend auf `/` gemountet, Trailing-Slash auf beiden Seiten. Erwartet es das Prefix, kein Trailing-Slash.

Wann sollte ich [[try_files||eine Direktive, die nginx sagt, welche Pfade in Reihenfolge zu probieren und was zu tun ist, wenn keiner existiert]] statt nur `index` nutzen?

Nimm `try_files` fuer **alles, was kein flacher Ordner aus HTML-Dateien ist**. Single-Page-Apps (React, Vue, Svelte) brauchen `try_files $uri $uri/ /index.html;`, damit ein Refresh auf `/dashboard/settings` weiterhin `index.html` laedt und der Router uebernimmt. WordPress und Vergleichbares brauchen `try_files $uri $uri/ /index.php?$args;`. Die plain `index index.html;`-Direktive greift nur, wenn die URL auf ein Verzeichnis zeigt.

Wie funktioniert das Cloudflare-Real-IP-Setup eigentlich?

Wenn Cloudflare einen Request proxyt, sieht dein nginx Cloudflares IP in `$remote_addr` und die echte Client-IP in einem Header namens `CF-Connecting-IP`. Der Block ergaenzt zwei Teile: **`set_real_ip_from ;`** fuer jede oeffentliche Cloudflare-Range (damit nginx ihnen als Proxys vertraut) und **`real_ip_header CF-Connecting-IP;`**, der nginx sagt, `$remote_addr` aus diesem Header zu ueberschreiben. Nach Reload sehen Access-Logs, Rate-Limits und fail2ban die echte Besucher-IP wieder. Die Ranges alle paar Monate aus `cloudflare.com/ips` aktualisieren.

Sollte ich gzip oder brotli waehlen?

Nimm **gzip**, wenn du eine Ein-Zeilen-Loesung willst, die out-of-the-box ueberall funktioniert. Nimm **brotli**, wenn du das Drittanbieter-Modul installieren kannst und **15 bis 25 Prozent kleinere** Payloads fuer Textinhalt willst. Die meisten Produktivseiten aktivieren **beide** (`gzip on; brotli on;`) und lassen den Client via `Accept-Encoding` verhandeln. Dieser Builder liefert gzip, weil das in Stock-nginx eingebaut ist. Brotli braucht `libnginx-mod-brotli` auf Debian oder Kompilieren aus dem Source.

Warum brauche ich [[WebSocket||ein Protokoll, das eine langlebige bidirektionale Verbindung zwischen Browser und Server offen haelt]]-Upgrade-Header?

Ein WebSocket startet als normaler HTTP/1.1-Request mit `Upgrade: websocket` und `Connection: Upgrade`-Headern und **flippt dann in eine persistente bidirektionale Verbindung**. Standardmaessig fuehrt nginx HTTP/1.0 zum Backend und strippt Hop-by-Hop-Header, das Upgrade passiert also nie, und dein Chat oder Live-Dashboard haengt. Die vier Zeilen, die wir generieren (`proxy_http_version 1.1`, `proxy_set_header Upgrade`, `proxy_set_header Connection "upgrade"`, `proxy_read_timeout 86400`), fixen das alles.

Wo lege ich die Datei ab und wie macht nginx sie aktiv?

**1.** Datei nach `/etc/nginx/sites-available/ .conf` speichern (Debian-/Ubuntu-Konvention, Red Hat nutzt `/etc/nginx/conf.d/`). **2.** Per Symlink aktivieren: `sudo ln -s /etc/nginx/sites-available/ .conf /etc/nginx/sites-enabled/`. **3.** Syntax validieren: `sudo nginx -t`. Siehst du `syntax is ok` und `test is successful`, ist alles gut. **4.** nginx reloaden: `sudo systemctl reload nginx` (reload, kein restart, damit bestehende Verbindungen ueberleben). **`nginx -t`** zu vergessen ist die haeufigste Art, eine Seite abzuschiessen.

Nginx-Config-Snippet-Builder - kostenlos

ModusWähle, was du baust

Gemeinsam

server_nameDomains, auf die dieser Block antwortet. Einer pro Zeile, z. B. `example.com` oder `www.example.com`

Listen-Port

Üblicherweise 80 für HTTP, 443 für HTTPS, 8080 für eine App hinter einem Proxy

SSL-Block (HTTPS) hinzufügen

Fügt `listen 443 ssl`, Lets-Encrypt-Pfade und moderne Ciphers hinzu

Domain für das ZertifikatWird in `/etc/letsencrypt/live/<domain>/...`-Pfaden verwendet. Normalerweise dein erster server_name

HTTP-zu-HTTPS-Redirect hinzufügen

Zweiter Server-Block auf Port 80, der per 301 nach https umleitet

Reverse Proxy

Backend-Adresse (proxy_pass)Vollständige URL der App hinter dem Proxy. z. B. `http://127.0.0.1:3000`

X-Forwarded-* Header setzen

Reicht Client-IP, Host und Scheme an die Upstream-App weiter

Add-ons

gzip hinzufügen (Antwort-Kompression)

Verkleinert HTML, CSS, JS, JSON. Wird bei Bildern und Videos übersprungen

WebSocket-Upgrade-Header hinzufügen

Notwendig, wenn die App WebSockets nutzt (Socket.IO, Phoenix Channels etc.)

Cloudflare-Real-IP hinzufügen

Stellt die ursprüngliche Client-IP in Logs und `$remote_addr` statt der Cloudflare-IP her

nginx Server-Block

api.example.com.conf

39 Zeilen

# HTTP → HTTPS redirect
server {
    listen 80;
    listen [::]:80;
    server_name api.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;
    server_name api.example.com;

    # SSL (Let's Encrypt)
    ssl_certificate     /etc/letsencrypt/live/api.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/api.example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # Gzip compression
    gzip on;
    gzip_vary on;
    gzip_comp_level 5;
    gzip_min_length 256;
    gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml;

    location / {
      proxy_pass http://127.0.0.1:3000;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Forwarded-Host $host;
    }
}

Wie deployen

Speichere unter `/etc/nginx/sites-available/<name>.conf`
Verlinke es: `ln -s /etc/nginx/sites-available/<name>.conf /etc/nginx/sites-enabled/`
Syntax prüfen: `sudo nginx -t`
Neu laden: `sudo systemctl reload nginx`

Was dieser Builder dir gibt

Wenn du je eine leere `.conf` unter `/etc/nginx/sites-available/` aufgemacht hast und nicht wusstest, wo du anfangen sollst, ist dieses Tool fuer dich. Es schreibt den ganzen Server-Block fuer die fuenf Dinge, die Leute mit nginx tatsaechlich tun: eine statische Seite ausliefern, einen Reverse-Proxy vor eine App stellen, einen sauberen Redirect fahren, eine Subdomain hosten oder Traffic ueber viele Backends mit einem Load-Balancer verteilen.

Modus oben waehlen, Domain und Backend eingeben, die Schalter fuer SSL, gzip, WebSockets und Cloudflare flippen. Das rechte Panel zeigt den exakten Text, den du in nginx einfuegst, korrekt eingerueckt wie eine echte Config. Copy oder Download als `<deine-domain>.conf`.

Alles laeuft im Browser. Es werden keine Domains aufgeloest, keine Zertifikate ausgestellt, nichts hochgeladen. Der Output ist nackte nginx-Syntax, identisch zu dem, was du von Hand tippen wuerdest, wenn du jede Direktive auswendig haettest.

So benutzt du es

Einen Modus oben waehlen: *Static site*, *Reverse proxy*, *Redirect*, *Subdomain* oder *Load balancer*. Jeder Modus zeigt nur die fuer ihn relevanten Felder.

Deine Domains in server_name eintippen. Eine Domain pro Zeile. Die erste wird als Zertifikatsname genutzt.

Den listen-Port waehlen. 80 fuer plain HTTP, 443 fuer HTTPS, 8080, wenn ein Upstream-Proxy oder Docker TLS macht.

Add SSL block flippen, um Lets-Encrypt-Pfade zu verdrahten (`/etc/letsencrypt/live/<domain>/fullchain.pem`). Add HTTP to HTTPS redirect anlassen, damit plain-HTTP-Besucher mit `301` auf https geschickt werden.

Bei Reverse proxy proxy_pass auf dein Backend setzen, z. B. `http://127.0.0.1:3000`. X-Forwarded--Header anlassen, damit deine App die echte Client-IP sieht.

Bei Load balancer je eine `address:port` pro Zeile in *Backend servers* einfuegen und einen Algorithmus waehlen. upstream-Gruppen mit `least_conn` fuer langsame Apps, `ip_hash` fuer Sticky Sessions.

Nutzt deine App WebSockets (Socket.IO, Phoenix Channels etc.), Add WebSocket Upgrade headers flippen. Steht Cloudflare vor nginx, Add Cloudflare real IP flippen, damit Logs den echten Client zeigen.

Copy klicken, in `/etc/nginx/sites-available/<deine-datei>.conf` einfuegen, in `sites-enabled` symlinken, `sudo nginx -t` zur Syntaxvalidierung ausfuehren, dann `sudo systemctl reload nginx`.

Wann das nuetzlich ist

Sieben Situationen, in denen ein fertiger Server-Block viel Doku-Schielen spart:

Du hast eine Node-, Python- oder Go-App auf einem VPS deployt und willst sie mit ordentlichem TLS-Cert auf Port 443. *Reverse proxy* waehlen, auf `http://127.0.0.1:3000` zeigen, SSL anschalten, fertig. Nginx terminiert TLS, deine App bleibt plain HTTP dahinter.
Du hast eine Domain fuer eine statische Landingpage gekauft. *Static site* waehlen, root auf `/var/www/deine-seite` zeigen, und du bekommst einen funktionierenden Server-Block mit richtigen Index-Dateien und einem try_files-Fallback.
Du migrierst eine alte Domain auf eine neue. *Redirect* waehlen, Ziel `https://new.example.de$request_uri`, Code `301`. Google aktualisiert den Index, Browser cachen den Redirect, deine alten Links funktionieren weiter.
Du willst eine Subdomain fuer einen Blog. *Subdomain* waehlen, Praefix `blog`, Base `example.de`, und du bekommst einen kompletten `blog.example.de`-Server-Block. Unter genau diesem Dateinamen speichern, damit `sites-available/` aufgeraeumt bleibt.
Deine App schafft die Last auf einer Box nicht. *Load balancer* waehlen, drei oder vier Backend-`address:port`-Zeilen einfuegen, `least_conn` waehlen, und nginx routet jeden Request an den unbeschaeftigtsten. Einen Server ergaenzen ist eine neue Zeile.
Dein Realtime-Chat ist hinter nginx kaputt wegen WebSockets. *Add WebSocket Upgrade headers* flippen, nginx leitet `Upgrade` und `Connection` korrekt weiter, mit 24h-Read-Timeout, der lange Verbindungen ueberlebt.
Du sitzt hinter Cloudflare und alle Logs sagen "172.x.x.x". *Add Cloudflare real IP* flippen, nginx rewritet `$remote_addr` aus dem `CF-Connecting-IP`-Header aus Cloudflare-Ranges. Rate-Limits, fail2ban und Audit-Logs funktionieren wieder.

Fragen und Antworten

Nginx ist ein Webserver und Reverse-Proxy, der auf einem Port lauscht (meist 80 oder 443), eingehende HTTP-Anfragen nimmt und entscheidet, was mit jeder zu tun ist. Es kann Dateien von Disk ausliefern (wie eine statische Seite), die Anfrage an ein anderes Programm weiterleiten, das auf derselben Maschine laeuft (eine App auf `127.0.0.1:3000`, das ist der Reverse-Proxy-Modus), auf eine andere URL redirecten oder Traffic ueber viele Backend-Server verteilen. Es ist die Standardvordertuer fast jedes Linux-Web-Stacks und das Ding, das deine SSL-/TLS-Terminierung macht.

-Bloecke aus, welcher anzuwenden ist?

statt nur `index` nutzen?

-Upgrade-Header?

# HTTP → HTTPS redirect server { listen 80; listen [::]:80; server_name api.example.com; return 301 https://$host$request_uri; } server { listen 443 ssl; listen [::]:443 ssl; http2 on; server_name api.example.com; # SSL (Let's Encrypt) ssl_certificate /etc/letsencrypt/live/api.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/api.example.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; # Gzip compression gzip on; gzip_vary on; gzip_comp_level 5; gzip_min_length 256; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml; location / { proxy_pass http://127.0.0.1:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host; } }

Was dieser Builder dir gibt

So benutzt du es

Einen Modus oben waehlen: *Static site*, *Reverse proxy*, *Redirect*, *Subdomain* oder *Load balancer*. Jeder Modus zeigt nur die fuer ihn relevanten Felder.

Deine Domains in server_name eintippen. Eine Domain pro Zeile. Die erste wird als Zertifikatsname genutzt.

Den listen-Port waehlen. 80 fuer plain HTTP, 443 fuer HTTPS, 8080, wenn ein Upstream-Proxy oder Docker TLS macht.

Bei Reverse proxy proxy_pass auf dein Backend setzen, z. B. `http://127.0.0.1:3000`. X-Forwarded--Header anlassen, damit deine App die echte Client-IP sieht.

Copy klicken, in `/etc/nginx/sites-available/<deine-datei>.conf` einfuegen, in `sites-enabled` symlinken, `sudo nginx -t` zur Syntaxvalidierung ausfuehren, dann `sudo systemctl reload nginx`.

Wann das nuetzlich ist

Sieben Situationen, in denen ein fertiger Server-Block viel Doku-Schielen spart:

Du hast eine Node-, Python- oder Go-App auf einem VPS deployt und willst sie mit ordentlichem TLS-Cert auf Port 443. *Reverse proxy* waehlen, auf `http://127.0.0.1:3000` zeigen, SSL anschalten, fertig. Nginx terminiert TLS, deine App bleibt plain HTTP dahinter.
Du hast eine Domain fuer eine statische Landingpage gekauft. *Static site* waehlen, root auf `/var/www/deine-seite` zeigen, und du bekommst einen funktionierenden Server-Block mit richtigen Index-Dateien und einem try_files-Fallback.
Du migrierst eine alte Domain auf eine neue. *Redirect* waehlen, Ziel `https://new.example.de$request_uri`, Code `301`. Google aktualisiert den Index, Browser cachen den Redirect, deine alten Links funktionieren weiter.
Du willst eine Subdomain fuer einen Blog. *Subdomain* waehlen, Praefix `blog`, Base `example.de`, und du bekommst einen kompletten `blog.example.de`-Server-Block. Unter genau diesem Dateinamen speichern, damit `sites-available/` aufgeraeumt bleibt.
Deine App schafft die Last auf einer Box nicht. *Load balancer* waehlen, drei oder vier Backend-`address:port`-Zeilen einfuegen, `least_conn` waehlen, und nginx routet jeden Request an den unbeschaeftigtsten. Einen Server ergaenzen ist eine neue Zeile.
Dein Realtime-Chat ist hinter nginx kaputt wegen WebSockets. *Add WebSocket Upgrade headers* flippen, nginx leitet `Upgrade` und `Connection` korrekt weiter, mit 24h-Read-Timeout, der lange Verbindungen ueberlebt.
Du sitzt hinter Cloudflare und alle Logs sagen "172.x.x.x". *Add Cloudflare real IP* flippen, nginx rewritet `$remote_addr` aus dem `CF-Connecting-IP`-Header aus Cloudflare-Ranges. Rate-Limits, fail2ban und Audit-Logs funktionieren wieder.

Fragen und Antworten

-Bloecke aus, welcher anzuwenden ist?

statt nur `index` nutzen?

-Upgrade-Header?

Nginx-Config-Snippet-Builder

Was dieser Builder dir gibt

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSH-Config-Builder

DNS-Lookup

SSL-Zertifikat-Inspector

HTTP-Header Inspector

systemd-Unit-Builder

Nginx-Config-Snippet-Builder

Was dieser Builder dir gibt

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSH-Config-Builder

DNS-Lookup

SSL-Zertifikat-Inspector

HTTP-Header Inspector

systemd-Unit-Builder