nginx connection failed due to Permission denied on CentOS7

今天，在CentOS上配了nginx，代理一个node http server，node server跑在3000端口上，nginx监听80端口，转发所有http请求到node server，配好之后，发现通过域名访问node app，出现无法访问的页面。单独访问nginx和带端口访问node app都ok，查nginx log发现是SELinux Permission配置问题。

现将问题，分析和解决方案记录如下，以供以后学习整理。

环境：CentOS7， nginx 1.8.0，nodejs 0.10.36.

nginx 和 nodejs http server跑在同一台CentOS上。

配置：

1. nginx conf

upstream backend {
    server 127,0.0.1:3000;
}

server {
    listen       80;
    server_name  localhost;

    location / {
        proxy_pass http://backend;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

2. nodejs http server 监听 3000端口

问题：

通过域名访问node app，出现无法访问的页面。

分析：

查看nginx log (/var/log/nginx/error.log) 发现：

2016/01/26 04:13:12 [crit] 6951#0: *3 connect() to 127.0.0.1:3000 failed (13: Permission denied) while connecting to upstream, client: *.*.*.*(此处IP省略), server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:3000/", host: "www.*"(此处域名省略)

因为CentOS在内核中使用的是 SELinux(Security-Enhanced Linux) ，而SELinux对访问控制是有严格的设置的，推断应该是SELinux Permission 设置的问题。

解决方案：(以下命令均需要有root权限执行，任意一种方案均可以解决该问题)

1. 开启httpd_can_network_connect

setsebool httpd_can_network_connect on  (当前session生效)

setsebool -P httpd_can_network_connect on (持久化保存设置)

另外，可以使用getsebool -a | grep httpd 查看当前httpd的设置

这个方案的好处是，方便，不论以后添加任何其他本地代理server，都会好用。

2. 开放相应的http server连接端口号

semanage port -a -t http_port_t  -p tcp 3000

因为SELinux默认只开放指定端口(80, 81, 443, 488, 8008, 8009, 8443, 9000)提供http连接，添加nodejs http server监听的端口号即可使用nginx与之建立连接。

另外，可以使用semanage port --list | grep http 查看当前支持http连接的端口号

这个方案的好处是，安全，但后续如果有新的本地代理server跑在不同的端口上，需要重复上述操作。