¿Cómo decide nginx qué server-block usar para una petición entrante?

Mira el **Host header** que envió el navegador y lo compara con [[server_name||la directiva que lista los dominios a los que responde un bloque]] de cada bloque escuchando en el mismo puerto. Prioridad de match: **nombre exacto** gana (`ejemplo.com`), luego **wildcard inicial** (`*.ejemplo.com`), luego **wildcard final** (`ejemplo.*`), luego **regex**. Si nada coincide, se usa el **default_server** de ese puerto (el primer bloque en ese puerto si ninguno está explícitamente marcado). Por eso tus bugs de "se muestra el sitio equivocado" son casi siempre sobre server_name.

¿Cuál es la diferencia entre `listen 80` y `listen 443 ssl`?

**El puerto 80** es HTTP plano, sin cifrado. **El puerto 443** es HTTPS, y el flag `ssl` dice a nginx que haga TLS handshakes en ese socket y lea `ssl_certificate` y `ssl_certificate_key`. Un sitio moderno necesita **ambos bloques**: uno en 80 que redirige a https, otro en 443 que hace el trabajo real. Este generador genera ese par cuando activas *Añadir redirect HTTP a HTTPS* encima de *Añadir bloque SSL*.

¿Cómo eligen los bloques [[location||un bloque que coincide con parte de la ruta URL y le aplica reglas]] de nginx cuál aplicar?

Prioridad de match, en orden: **match exacto** (`location = /favicon.ico`) gana; luego **prefijo más largo con `^~`** gana directamente; luego **regex** (`location ~ \.php$`) se comprueba en orden; luego **prefijo regular** (`location /api`). Una vez una regex coincide, nginx para de buscar, así que pon las reglas más específicas primero. Para un solo sitio estático o proxy, un `location /` basta.

¿Por qué `proxy_pass http://app/` (con barra final) se comporta distinto de `proxy_pass http://app` (sin)?

Con **barra final**, nginx **quita el prefijo del location** de la petición antes de reenviar. `location /api/ { proxy_pass http://app/; }` convierte `/api/users` en `/users` para el backend. **Sin** barra final, reenvía **tal cual**: `/api/users` se queda `/api/users`. Ambos son válidos, ambos muerden a quien olvida cuál escribió. Tip: si tu backend está montado en `/`, usa barra final en ambos lados. Si espera el prefijo, sin barra final.

¿Cuándo debo usar [[try_files||una directiva que dice a nginx qué rutas probar en orden, y qué hacer cuando ninguna existe]] en vez de solo `index`?

Usa `try_files` para **cualquier cosa que no sea una carpeta plana de ficheros HTML**. Las single-page apps (React, Vue, Svelte) necesitan `try_files $uri $uri/ /index.html;` para que refrescar en `/dashboard/settings` siga cargando `index.html` y el router tome el relevo. WordPress y similares necesitan `try_files $uri $uri/ /index.php?$args;`. La directiva plana `index index.html;` solo entra cuando la URL apunta a un directorio.

¿Cómo funciona realmente el setup de real-IP de Cloudflare?

Cuando Cloudflare proxia una petición, tu nginx ve la IP de Cloudflare en `$remote_addr` y la IP real del cliente en una cabecera llamada `CF-Connecting-IP`. El bloque añade dos piezas: **`set_real_ip_from ;`** para cada rango publicado por Cloudflare (para que nginx confíe en ellos como proxies) y **`real_ip_header CF-Connecting-IP;`** que dice a nginx que sobrescriba `$remote_addr` desde esa cabecera. Tras recargar, tus logs de acceso, rate limits y reglas fail2ban vuelven a ver la IP real del visitante. Actualiza los rangos cada pocos meses desde `cloudflare.com/ips`.

¿Debería elegir gzip o brotli?

Usa **gzip** cuando quieras un drop-in de una línea que funcione en todas partes out of the box. Usa **brotli** cuando puedas instalar el módulo de terceros y quieras payloads **15-25 por ciento más pequeños** para contenido de texto. La mayoría de sitios en producción activan **ambos** (`gzip on; brotli on;`) y dejan que el cliente negocie vía `Accept-Encoding`. Este generador entrega gzip porque está integrado en nginx estándar. Brotli necesita `libnginx-mod-brotli` en Debian o compilar desde fuente.

¿Por qué necesito cabeceras [[WebSocket||un protocolo que mantiene una conexión bidireccional de larga vida entre navegador y servidor]] Upgrade?

Un WebSocket empieza como una petición HTTP/1.1 normal con cabeceras `Upgrade: websocket` y `Connection: Upgrade`, luego **se convierte en una conexión bidireccional persistente**. Por defecto nginx es HTTP/1.0 al backend y quita las cabeceras hop-by-hop, así que el upgrade nunca ocurre y tu chat o dashboard en vivo se cuelga. Las cuatro líneas que generamos (`proxy_http_version 1.1`, `proxy_set_header Upgrade`, `proxy_set_header Connection "upgrade"`, `proxy_read_timeout 86400`) lo arreglan todo.

¿Dónde pongo el fichero y cómo hago que nginx lo recoja?

**1.** Guarda el fichero en `/etc/nginx/sites-available/ .conf` (convención Debian / Ubuntu; Red Hat usa `/etc/nginx/conf.d/`). **2.** Actívalo con symlink: `sudo ln -s /etc/nginx/sites-available/ .conf /etc/nginx/sites-enabled/`. **3.** Valida la sintaxis: `sudo nginx -t`. Si ves `syntax is ok` y `test is successful`, vas bien. **4.** Recarga nginx: `sudo systemctl reload nginx` (recarga, no restart, así las conexiones existentes sobreviven). Olvidar **`nginx -t`** es la forma más común de tirar abajo un sitio.

Generador de snippets de Nginx - gratis

ModoElige qué estás construyendo

Común

server_nameDominios a los que responde este bloque. Uno por línea, p. ej. `example.com` o `www.example.com`

Puerto de escucha

Habitualmente 80 para HTTP, 443 para HTTPS, 8080 para una app tras un proxy

Añadir bloque SSL (HTTPS)

Añade `listen 443 ssl`, rutas de Lets Encrypt y cifrados modernos

Dominio para el certificadoSe usa en las rutas `/etc/letsencrypt/live/<domain>/...`. Habitualmente tu primer server_name

Añadir redirección HTTP a HTTPS

Segundo bloque server en el puerto 80 que redirige 301 a https

Proxy inverso

Dirección del backend (proxy_pass)URL completa de la app tras el proxy. p. ej. `http://127.0.0.1:3000`

Establecer cabeceras X-Forwarded-*

Pasa la IP del cliente, host y esquema a la app upstream

Complementos

Añadir gzip (compresión de respuestas)

Reduce HTML, CSS, JS, JSON. Se omite para imágenes y vídeo

Añadir cabeceras Upgrade de WebSocket

Necesario si la app usa WebSockets (Socket.IO, Phoenix Channels, etc.)

Añadir IP real de Cloudflare

Restaura la IP original del cliente en los logs y `$remote_addr` en lugar de la de Cloudflare

Bloque server de nginx

api.example.com.conf

39 líneas

# HTTP → HTTPS redirect
server {
    listen 80;
    listen [::]:80;
    server_name api.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    http2 on;
    server_name api.example.com;

    # SSL (Let's Encrypt)
    ssl_certificate     /etc/letsencrypt/live/api.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/api.example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # Gzip compression
    gzip on;
    gzip_vary on;
    gzip_comp_level 5;
    gzip_min_length 256;
    gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml;

    location / {
      proxy_pass http://127.0.0.1:3000;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Forwarded-Host $host;
    }
}

Cómo desplegar

Guarda en `/etc/nginx/sites-available/<name>.conf`
Crea el enlace simbólico: `ln -s /etc/nginx/sites-available/<name>.conf /etc/nginx/sites-enabled/`
Comprueba la sintaxis: `sudo nginx -t`
Recarga: `sudo systemctl reload nginx`

Qué te da este generador

Si alguna vez has abierto un fichero `.conf` vacío en `/etc/nginx/sites-available/` y te has preguntado por dónde empezar, esta herramienta es para ti. Escribe el server-block completo para las cinco cosas que la gente hace de verdad con nginx: servir un sitio estático, poner un reverse proxy delante de una app, ejecutar un redirect limpio, alojar un subdominio o repartir tráfico entre varios backends con un load balancer.

Elige un modo arriba, rellena un dominio y un backend, activa los interruptores para SSL, gzip, WebSockets y Cloudflare. El panel derecho muestra el texto exacto que pegas en nginx, indentado y con el estilo de un config real. Copia o Descarga como `<tu-dominio>.conf`.

Todo corre en tu navegador. No se resuelven dominios, no se emiten certificados, no se sube nada. La salida es sintaxis nginx plana, idéntica a lo que escribirías a mano si hubieras memorizado cada directiva.

Cómo usarlo

Elige un modo arriba: *Sitio estático*, *Reverse proxy*, *Redirect*, *Subdominio* o *Load balancer*. Cada modo muestra solo los campos que importan para él.

Escribe tus dominios en server_name. Un dominio por línea. El primero se usa como nombre del certificado.

Elige el puerto listen. 80 para HTTP plano, 443 para HTTPS, 8080 cuando un proxy upstream o Docker gestionan TLS.

Activa Añadir bloque SSL para enlazar las rutas de Let's Encrypt (`/etc/letsencrypt/live/<dominio>/fullchain.pem`). Deja Añadir redirect HTTP a HTTPS encendido para que los visitantes HTTP plano sean rebotados a https con un `301`.

Para Reverse proxy: configura proxy_pass hacia tu backend, p. ej. `http://127.0.0.1:3000`. Mantén las cabeceras X-Forwarded- activadas para que tu app vea la IP real del cliente.

Para Load balancer: pega un `address:port` por línea en *Servidores backend* y elige un algoritmo. Usa grupos upstream con `least_conn` para apps lentas e `ip_hash` cuando necesites sesiones pegajosas.

Si tu app usa WebSockets (Socket.IO, Phoenix Channels, etc.) activa Añadir cabeceras Upgrade de WebSocket. Si tienes nginx detrás de Cloudflare, activa Añadir Cloudflare real IP para que los logs muestren al cliente real.

Pulsa Copiar, pega en `/etc/nginx/sites-available/<tu-fichero>.conf`, haz symlink a `sites-enabled`, ejecuta `sudo nginx -t` para validar la sintaxis, luego `sudo systemctl reload nginx`.

Cuándo es útil

Siete situaciones en las que un server-block listo ahorra mucho mirar de reojo la documentación:

Has desplegado una app Node, Python o Go en un VPS y quieres ponerla en el puerto 443 con un certificado TLS propio. Elige *Reverse proxy*, apunta a `http://127.0.0.1:3000`, activa SSL, listo. Nginx termina TLS, tu app se queda en HTTP plano detrás.
Compraste un dominio para una landing estática. Elige *Sitio estático*, apunta root a `/var/www/tu-sitio` y obtienes un server-block funcional con los ficheros index correctos y un fallback try_files.
Estás migrando un dominio viejo a uno nuevo. Elige *Redirect*, destino `https://nuevo.ejemplo.com$request_uri`, código `301`. Google actualiza el índice, los navegadores cachean el redirect, tus enlaces antiguos siguen funcionando.
Quieres un subdominio para un blog. Elige *Subdominio*, prefijo `blog`, base `ejemplo.com` y obtienes un server-block completo `blog.ejemplo.com`. Guarda con ese nombre exacto para mantener `sites-available/` ordenado.
Tu app no puede con la carga en una caja. Elige *Load balancer*, pega tres o cuatro líneas backend `address:port`, elige `least_conn` y nginx enruta cada petición al menos ocupado. Añadir un servidor es una línea nueva.
Tu chat en tiempo real está roto detrás de nginx por los WebSockets. Activa *Añadir cabeceras Upgrade de WebSocket* y nginx reenvía `Upgrade` y `Connection` correctamente, con un timeout de lectura de 24h que sobrevive a conexiones de larga duración.
Estás detrás de Cloudflare y todos tus logs dicen "172.x.x.x". Activa *Añadir Cloudflare real IP*, nginx reescribe `$remote_addr` desde la cabecera `CF-Connecting-IP` que viene de los rangos de Cloudflare. Los rate limits, fail2ban y logs de auditoría vuelven a funcionar.

Preguntas y respuestas

Nginx es un servidor web y un reverse proxy que escucha en un puerto (normalmente 80 o 443), toma peticiones HTTP entrantes y decide qué hacer con cada una. Puede servir ficheros de disco (como un sitio estático), reenviar la petición a otro programa corriendo en la misma máquina (una app en `127.0.0.1:3000`, el modo reverse-proxy), redirigir a otra URL o repartir tráfico entre muchos servidores backend. Es la puerta de entrada estándar para casi todo stack web Linux y la cosa que gestiona tu terminación SSL/TLS.

de nginx cuál aplicar?

en vez de solo `index`?

Upgrade?

# HTTP → HTTPS redirect server { listen 80; listen [::]:80; server_name api.example.com; return 301 https://$host$request_uri; } server { listen 443 ssl; listen [::]:443 ssl; http2 on; server_name api.example.com; # SSL (Let's Encrypt) ssl_certificate /etc/letsencrypt/live/api.example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/api.example.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; # Gzip compression gzip on; gzip_vary on; gzip_comp_level 5; gzip_min_length 256; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml; location / { proxy_pass http://127.0.0.1:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host; } }

Qué te da este generador

Cómo usarlo

Elige un modo arriba: *Sitio estático*, *Reverse proxy*, *Redirect*, *Subdominio* o *Load balancer*. Cada modo muestra solo los campos que importan para él.

Escribe tus dominios en server_name. Un dominio por línea. El primero se usa como nombre del certificado.

Elige el puerto listen. 80 para HTTP plano, 443 para HTTPS, 8080 cuando un proxy upstream o Docker gestionan TLS.

Para Reverse proxy: configura proxy_pass hacia tu backend, p. ej. `http://127.0.0.1:3000`. Mantén las cabeceras X-Forwarded- activadas para que tu app vea la IP real del cliente.

Pulsa Copiar, pega en `/etc/nginx/sites-available/<tu-fichero>.conf`, haz symlink a `sites-enabled`, ejecuta `sudo nginx -t` para validar la sintaxis, luego `sudo systemctl reload nginx`.

Cuándo es útil

Siete situaciones en las que un server-block listo ahorra mucho mirar de reojo la documentación:

Has desplegado una app Node, Python o Go en un VPS y quieres ponerla en el puerto 443 con un certificado TLS propio. Elige *Reverse proxy*, apunta a `http://127.0.0.1:3000`, activa SSL, listo. Nginx termina TLS, tu app se queda en HTTP plano detrás.
Compraste un dominio para una landing estática. Elige *Sitio estático*, apunta root a `/var/www/tu-sitio` y obtienes un server-block funcional con los ficheros index correctos y un fallback try_files.
Estás migrando un dominio viejo a uno nuevo. Elige *Redirect*, destino `https://nuevo.ejemplo.com$request_uri`, código `301`. Google actualiza el índice, los navegadores cachean el redirect, tus enlaces antiguos siguen funcionando.
Quieres un subdominio para un blog. Elige *Subdominio*, prefijo `blog`, base `ejemplo.com` y obtienes un server-block completo `blog.ejemplo.com`. Guarda con ese nombre exacto para mantener `sites-available/` ordenado.
Tu app no puede con la carga en una caja. Elige *Load balancer*, pega tres o cuatro líneas backend `address:port`, elige `least_conn` y nginx enruta cada petición al menos ocupado. Añadir un servidor es una línea nueva.
Tu chat en tiempo real está roto detrás de nginx por los WebSockets. Activa *Añadir cabeceras Upgrade de WebSocket* y nginx reenvía `Upgrade` y `Connection` correctamente, con un timeout de lectura de 24h que sobrevive a conexiones de larga duración.
Estás detrás de Cloudflare y todos tus logs dicen "172.x.x.x". Activa *Añadir Cloudflare real IP*, nginx reescribe `$remote_addr` desde la cabecera `CF-Connecting-IP` que viene de los rangos de Cloudflare. Los rate limits, fail2ban y logs de auditoría vuelven a funcionar.

Preguntas y respuestas

de nginx cuál aplicar?

en vez de solo `index`?

Upgrade?

Generador de snippets de Nginx

Qué te da este generador

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de SSH config

Consulta DNS

Inspector de certificado SSL

Inspector de cabeceras HTTP

Generador de unidad systemd

Generador de snippets de Nginx

Qué te da este generador

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de SSH config

Consulta DNS

Inspector de certificado SSL

Inspector de cabeceras HTTP

Generador de unidad systemd