joao.goncalves
/
NgixProxy_Pathfinder
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

feat: migrate reverse proxy to Traefik with SSL and JSON logging

This commit is contained in:
João Pedro Toledo Goncalves 2026-01-27 11:45:40 -03:00
parent 3e615b70c7
commit 02d9a30356
9 changed files with 146 additions and 403 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

117
.gemini/GEMINI.md
View File

@ -1,41 +1,27 @@
# NGINX Pathfinder Proxy - Documentação Técnica # Pathfinder Proxy - Documentação Técnica (Traefik)
## Visão Geral ## Visão Geral
Projeto de infraestrutura para Proxy Reverso de Alta Disponibilidade, utilizando Containers Docker para modularidade e fácil manutenção. Projeto de infraestrutura para Proxy Reverso de Alta Disponibilidade utilizando **Traefik Proxy**. O sistema automatiza a terminação SSL e o roteamento de tráfego para serviços internos (Docker) e externos (VMware/LXC).
## Arquitetura de Containers ## Arquitetura de Containers
O projeto roda sobre 3 serviços orquestrados via `docker-compose.yml`: O projeto centraliza o tráfego no serviço `traefik`:
| Serviço | Imagem | Porta Exposta | Função | | Serviço | Imagem | Porta Exposta | Função |
|---------|--------|---------------|--------| |---------|--------|---------------|--------|
| **modsecurity** | `owasp/modsecurity-crs:nginx-alpine` | `80`, `443` | **Frontend (WAF)**. Recebe todo o tráfego da internet, filtra ataques (SQLi, XSS) e encaminha requisições limpas para o Proxy. | | **traefik** | `traefik:v2.10` | `80`, `443`, `8080` | **Reverse Proxy & SSL**. Gerencia certificados Let's Encrypt, roteamento de vhosts e dashboard. |
| **nginx-proxy** | `alpine` (Custom Build) | `8080` (Interna) | **Backend Proxy**. Gerencia vhosts, terminação SSL, cache, compressão Brotli e roteamento para as aplicações finais. |
| **fail2ban** | `crazymax/fail2ban` | - | **Watchdog**. Lê logs compartilhados dos dois containers acima e bane IPs maliciosos diretamente no host (via iptables). |
--- ---
## Automação SSL ## Automação SSL
O sistema possui um mecanismo de **auto-cura** para certificados SSL. Utiliza o **ACME** nativo do Traefik.
### Componentes ### Componentes
1. **Certbot**: Instalado dentro do container `nginx-proxy`. 1. **Resolver**: `letsencrypt` configurado no `traefik.yml`.
2. **Volumes**: 2. **Storage**: Arquivo `acme.json` (deve ter permissão `600`).
- `ssl/`: Onde ficam os arquivos `.crt` e `.key` usados pelo NGINX. 3. **E-mail**: `suporte@itguys.com.br`.
- `certbot/`: Onde o Certbot guarda os arquivos originais do Let's Encrypt.
3. **Scripts**:
- `scripts/inject_acme.sh`: Varre todos os arquivos em `conf.d/` e injeta o snippet de validação ACME (`.well-known`) se não existir.
- `scripts/renew_ssl.sh`:
1. Verifica a data de expiração de cada certificado ativo.
2. Se faltar **3 dias ou menos**, dispara `certbot renew`.
3. Copia os novos arquivos gerados para a pasta `ssl/`.
4. Recarrega o NGINX.
### Agendamento
- **Cron**: Configurado no `pre-flight.sh` para rodar todos os dias às **01:00 AM**.
- **Startup**: A verificação também roda a cada reinício do container.
--- ---
@ -43,93 +29,40 @@ O sistema possui um mecanismo de **auto-cura** para certificados SSL.
``` ```
. .
├── conf.d/ # Configurações de sites (VHosts) ├── docker-compose.yml # Orquestração do Traefik
├── snippets/ # Trechos reutilizáveis ├── traefik.yml # Configuração Estática (Global)
│ ├── acme_challenge.conf # Snippet para validação Let's Encrypt ├── dynamic_conf.yml # Configuração Dinâmica (VHosts Externos)
│ ├── internal_networks.conf # IPs permitidos (VPN/Local) ├── acme.json # Armazenamento de Certificados SSL
│ └── ...
├── scripts/ # Scripts de automação
│ ├── pre-flight.sh # Entrypoint (DNS Check + Cron Setup)
│ ├── inject_acme.sh # Injetor de config ACME
│ └── renew_ssl.sh # Lógica de renovação
├── ssl/ # Certificados em uso
├── fail2ban/ # Configs do Fail2ban
│ ├── jail.d/ # Definição das prisões
│ └── filter.d/ # Regex de detecção
├── .gemini/ # Documentação do projeto ├── .gemini/ # Documentação do projeto
└── docker-compose.yml # Orquestração └── _backup/ # Legado do NGINX/ModSecurity
``` ```
--- ---
## Módulos Especiais ## Logs e Monitoramento
### 1. Brotli & Headers More - **Formato**: JSON (configurado em `traefik.yml`).
O container `nginx-proxy` é construído manualmente (`Dockerfile`) para incluir módulos que não vêm por padrão no Alpine: - **Nível**: INFO.
- `nginx-mod-http-brotli` - **Acesso**: Dashboard disponível na porta `8080`.
- `nginx-mod-http-headers-more`
### 2. ModSecurity (WAF)
Rodar o WAF em container separado (`modsecurity`) evita a necessidade de compilar o ModSecurity no NGINX principal.
**Arquitetura Customizada:**
- **Injeção de Template**: Um arquivo `modsec.conf.template` local é montado durante o boot para contornar limitações de permissão do container oficial. Ele instrui o NGINX a carregar regras customizadas.
- **Regras Modulares**: Localizadas em `modsec_rules/`, divididas por aplicação (`gitea-rule-exceptions.conf`, `nextcloud...`).
- **Global**: `global-exceptions.conf` define apenas a whitelist de rede.
- **Bypass de Emergência**: Se o WAF falhar, altere as portas no `docker-compose.yml` para expor o `nginx-proxy` diretamente.
---
## Fluxo de Deploy Atualizado
```mermaid
graph TD
Start[Deploy] --> DetectIP[Detectar IP Público]
DetectIP --> Build[Docker Build (NGINX + Certbot)]
Build --> Up[Docker Compose Up]
Up --> PreFlight[Pre-Flight Script]
PreFlight --> DNSCheck[Validar DNS dos Domínios]
DNSCheck --> CronSetup[Configurar Cron Job]
CronSetup --> SSLCheck[Verificar Validade SSL]
SSLCheck -- Vence > 3 dias --> StartNginx[Iniciar NGINX]
SSLCheck -- Vence <= 3 dias --> Renew[Rodar renew_ssl.sh]
Renew --> StartNginx
```
--- ---
## Comandos Operacionais ## Comandos Operacionais
**Verificar status dos serviços:** **Verificar status:**
```bash ```bash
docker compose ps docker compose ps
``` ```
**Verificar validade dos SSL (Log):** **Ver logs em tempo real:**
```bash ```bash
docker compose logs nginx-proxy | grep "SSL" docker compose logs -f traefik
``` ```
**Forçar renovação SSL manualmente:** **Adicionar novo site externo:**
```bash 1. Editar `dynamic_conf.yml`.
docker compose exec nginx-proxy /scripts/renew_ssl.sh 2. O Traefik detecta a mudança automaticamente (watch: true).
```
**Reload Zero-Downtime (Blue-Green Logic):** ---
Este comando valida a configuração e executa um reload gracioso (`nginx -s reload`), onde novos workers assumem as novas configurações enquanto os antigos terminam as requisições correntes.
```bash
./scripts/reload.sh # Linux
./scripts/reload.ps1 # Windows PowerShell
```
**Banir um IP manualmente:** *Mantido por IT Guys*
```bash
docker compose exec fail2ban fail2ban-client set nginx-badbots banip 1.2.3.4
```
**Adicionar novo site:**
1. Criar `conf.d/novo-site.conf`
2. `docker compose restart nginx-proxy`
3. O script de startup irá validar o DNS e injetar o suporte ACME automaticamente.

261
README.md
View File

@ -1,143 +1,57 @@
# NGINX Pathfinder Proxy # NGINX Pathfinder Proxy (Migrated to Traefik)
Solução moderna de Proxy Reverso containerizado, construída com NGINX, ModSecurity WAF e automação de SSL. Solução moderna de Proxy Reverso containerizado, agora utilizando **Traefik** para maior automação, suporte nativo a Docker e SSL gerenciado via Let's Encrypt.
## 🚀 Funcionalidades ## 🚀 Funcionalidades
### 🛡️ Segurança em Primeiro Lugar ### 🛡️ Traefik Proxy
- **ModSecurity WAF**: Conjunto de Regras OWASP (CRS) integrado rodando como proxy sidecar/frontend. - **SSL Automatizado**: Let's Encrypt nativo com renovação automática.
- **Fail2ban**: Serviço "cão de guarda" que bane IPs com comportamento suspeito (bots ruins, excesso de erros 4xx/5xx). - **Auto-Discovery**: Detecta automaticamente novos containers Docker com labels específicos.
- **Mapas de Segurança**: Bloqueio automatizado de User-Agents maliciosos e restrições de rede interna. - **Dashboard**: Interface visual para monitoramento de rotas e serviços.
- **Logs em JSON**: Ideal para integração com stacks de monitoramento (ELK, Loki).
### ⚡ Performance ### ⚡ Performance & Flexibilidade
- **HTTP/3 (QUIC)**: Habilitado para conexões modernas de baixa latência. - **HTTP/2 & HTTP/3**: Suporte a protocolos modernos.
- **Compressão Brotli**: Melhores taxas de compressão que o Gzip padrão. - **Roteamento Dinâmico**: Configuração de backends externos (VMs/LXC) via arquivo dinâmico.
- **Headers More**: Manipulação avançada de cabeçalhos para respostas limpas.
### 🔒 SSL Automatizado
- **Renovação Zero-Touch**: O Certbot integrado verifica a validade diariamente.
- **Auto-Renovação**: Renova automaticamente certificados próximos do vencimento (<= 3 dias).
- **Injeção Inteligente**: Injeta automaticamente os snippets de desafio ACME nas configurações dos sites.
--- ---
## 🛠️ Como Trabalhar neste Repositório ## 🛠️ Como Trabalhar neste Repositório
### Pré-requisitos ### Pré-requisitos
- Docker & Docker Compose instalados - Docker & Docker Compose instalados.
- Acesso à internet (para baixar imagens e validar SSL) - Portas 80 e 443 liberadas.
### 1. Implantar o Servidor (Deploy) ### 1. Implantar o Proxy (Portainer/Docker Compose)
Para iniciar toda a infraestrutura: 1. Certifique-se de que os arquivos `traefik.yml` e `dynamic_conf.yml` estão presentes.
```bash 2. Crie o arquivo de certificados: `touch acme.json && chmod 600 acme.json`.
./deploy.sh 3. Inicie os containers:
```bash
docker compose up -d
```
### 2. Adicionar um Novo Site (Backend Externo)
Edite o arquivo `dynamic_conf.yml` para adicionar novas rotas para servidores fora do Docker.
Exemplo de rota:
```yaml
http:
routers:
meu-site:
rule: "Host(`meu-site.com.br`)"
service: meu-servidor
entryPoints: [websecure]
tls: { certResolver: letsencrypt }
services:
meu-servidor:
loadBalancer:
servers:
- url: "http://IP_DO_SERVIDOR"
``` ```
*Este script detecta seu IP público, configura o ambiente e sobe os containers.*
### 2. Adicionar um Novo Site ### 3. Dashboard do Traefik
Todas as configurações de sites ficam na pasta `conf.d/`. Acesse o dashboard interno para verificar o status das rotas:
- **URL**: `http://localhost:8080/dashboard/`
1. **Crie o arquivo de configuração**:
Crie um arquivo `.conf` em `conf.d/` (ex: `meusite.com.br.conf`). Use um dos arquivos existentes como modelo.
**Modelo Básico (com SSL):**
```nginx
# Backend (para onde vai o tráfego)
upstream meu_backend {
server 192.168.1.10:8080;
}
# Redirecionamento HTTP -> HTTPS
server {
listen 80;
server_name meusite.com.br;
include /etc/nginx/snippets/acme_challenge.conf; # Importante para SSL
return 301 https://$host$request_uri;
}
# Bloco HTTPS
server {
listen 443 ssl;
http2 on;
server_name meusite.com.br;
ssl_certificate /etc/nginx/ssl/meusite.com.br.crt;
ssl_certificate_key /etc/nginx/ssl/meusite.com.br.key;
include /etc/nginx/snippets/ssl_params.conf;
location / {
proxy_pass http://meu_backend;
include /etc/nginx/includes/proxy_backend.conf;
}
}
```
2. **Aplique as alterações**:
```bash
docker compose restart nginx-proxy
```
*No reinício, o script de pre-flight validará o DNS e injetará configurações de SSL necessárias.*
### 3. Modificar Configurações Globais
As configurações globais são modularizadas na pasta `snippets/`.
- **Rate Limiting**: Edite `snippets/rate_limit.conf` para ajustar os limites de requisições por segundo.
- **Bloqueio de Bots**: Edite `snippets/security_maps.conf` para adicionar novos User-Agents à lista negra.
- **Cache**: Edite `snippets/cache_zones.conf` para definir novas zonas ou tempos de cache.
### 3.1. Modificar Regras do WAF (ModSecurity)
O WAF agora utiliza uma estrutura modular de regras localizada na pasta `modsec_rules/`.
- **Arquivos Específicos**: Regras para Gitea, Nextcloud, Exchange, Zabbix, etc. ficam em seus respectivos arquivos `.conf`.
- **Global**: `global-exceptions.conf` contém apenas whitelists de rede interna.
- **Aplicação**: Após editar qualquer regra, reinicie o container do WAF para aplicar:
```bash
docker compose restart modsecurity
```
> **Nota Técnica**: O arquivo `modsec.conf.template` na raiz é injetado no container durante o boot para contornar problemas de permissão e garantir o carregamento das regras customizadas.
### 4. Gerenciar Certificados SSL
O sistema gerencia isso automaticamente, mas você pode intervir manualmente se necessário.
- **Verificar Validade**:
Verifique os logs do startup para ver o status de todos os domínios:
```bash
docker compose logs nginx-proxy | grep "SSL"
```
- **Forçar Renovação**:
Se precisar renovar um certificado imediatamente:
```bash
docker compose exec nginx-proxy /scripts/renew_ssl.sh
```
- **Reload sem Downtime (Recomendado)**:
Para aplicar alterações de configuração (vhosts, SSL) sem derrubar conexões ativas:
```bash
./scripts/reload.sh
```
### 5. Monitorar e Debugar
- **Verificar Status dos Containers**:
```bash
docker compose ps
```
- **Ver Logs em Tempo Real**:
```bash
docker compose logs -f
```
- **Verificar se o WAF (ModSecurity) bloqueou algo**:
```bash
docker compose logs modsecurity | grep "Access denied"
```
- **Verificar Banimentos do Fail2ban**:
```bash
docker compose exec fail2ban fail2ban-client status nginx-badbots
```
--- ---
@ -145,94 +59,25 @@ O sistema gerencia isso automaticamente, mas você pode intervir manualmente se
```mermaid ```mermaid
graph TD graph TD
subgraph Internet Client[Cliente Externo] -->|":80 / :443"| Traefik
Client[Cliente Externo]
subgraph DockerHost["Docker Host"]
Traefik[Traefik Proxy]
App1[Container A]
App2[Container B]
end end
subgraph Host["Host Docker (Portainer)"] subgraph External["Rede Externa (LXC/VM)"]
subgraph PathfinderStack["Stack: Pathfinder-Proxy<br/>Rede: 172.112.0.0/16"] Gitea[Gitea Server]
WAF["ModSecurity WAF<br/>172.112.0.3<br/>:80, :443"] Zammad[Zammad Server]
NGINX["nginx-proxy<br/>172.112.0.2<br/>:8080 interno"]
F2B["fail2ban<br/>network: host"]
end end
subgraph HostNetwork["Rede Física do Host"] Traefik --> App1
HostIP["host.docker.internal<br/>(gateway)"] Traefik --> App2
end Traefik --> Gitea
Traefik --> Zammad
subgraph OtherStacks["Outras Stacks Docker"]
Container1["Container A<br/>172.111.0.x"]
Container2["Container B<br/>172.113.0.x"]
end
end
subgraph ExternalServers["Servidores Externos"]
Server254["10.10.253.254"]
Server128["10.10.253.128<br/>Gitea"]
end
Client -->|":80/:443"| WAF
WAF -->|"proxy_pass :8080"| NGINX
F2B -.->|"lê logs"| WAF
F2B -.->|"lê logs"| NGINX
NGINX -->|"extra_hosts<br/>host-gateway"| HostIP
NGINX -.->|"bridge network"| Container1
NGINX -.->|"bridge network"| Container2
HostIP -->|"roteamento"| Server254
HostIP -->|"roteamento"| Server128
style WAF fill:#e74c3c,stroke:#c0392b,color:#fff
style NGINX fill:#3498db,stroke:#2980b9,color:#fff
style F2B fill:#27ae60,stroke:#1e8449,color:#fff
style Server128 fill:#9b59b6,stroke:#8e44ad,color:#fff
style Server254 fill:#9b59b6,stroke:#8e44ad,color:#fff
style HostIP fill:#f39c12,stroke:#d68910,color:#fff
style Container1 fill:#1abc9c,stroke:#16a085,color:#fff
style Container2 fill:#1abc9c,stroke:#16a085,color:#fff
``` ```
--- ---
## 📋 Sistemas e Servidores Configurados
Lista de todos os sistemas roteados pelo proxy, organizados por tipo de infraestrutura.
| Domínio | IP/Backend | Docker | VM | LXC | Descrição |
|---------|------------|:------:|:--:|:---:|-----------|
| `git.itguys.com.br` | 10.10.253.128 | ❌ | ❌ | ✅ | Gitea - Servidor Git |
| `zammad.itguys.com.br` | 172.16.254.59 | ❌ | ❌ | ✅ | Zammad - Helpdesk |
| `monitoramento.itguys.com.br` | 172.16.254.x | ❌ | ❌ | ✅ | Zabbix/Grafana |
| `mimir.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Mimir - Métricas |
| `windmill.grupopralog.com.br` | 172.16.253.103:8000 | ❌ | ❌ | ✅ | Windmill - Automação |
| `katalog.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Katalog |
| `verbocloud.itguys.com.br` | 172.16.253.13:11580 | ❌ | ❌ | ✅ | Nextcloud AIO |
| `cloud.grupopralog.com.br` | 172.16.253.12 | ❌ | ❌ | ✅ | Nextcloud Pralog |
| `srvoffice001.itguys.com.br` | 172.16.253.101 | ❌ | ✅ | ❌ | Exchange Server |
| `business.itguys.com.br` | 172.16.121.13 | ❌ | ✅ | ❌ | Exchange OWA |
| `vcenter.itguys.com.br` | 172.16.254.110:443 | ❌ | ✅ | ❌ | VMware vCenter |
| `unifi.itguys.com.br` | 172.16.254.123:8443 | ❌ | ✅ | ❌ | UniFi Controller |
| `workspace.itguys.com.br` | 172.16.121.2 | ❌ | ✅ | ❌ | Workspace Windows |
| `vscode.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | VS Code Server |
| `telefonia.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Central Telefônica |
| `proxy.itguys.com.br` | localhost | ✅ | ❌ | ❌ | Este proxy |
| `itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Principal |
| `pralog.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Pralog |
| `anatram.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Anatram |
| `ferreirareal.com.br` | 172.16.x.x | ✅ | ❌ | ❌ | Site Ferreira Real |
| `petytransportes.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Pety Transportes |
| `solucionei.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Solucionei |
| `rhema.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Rhema |
| `integra.grupopralog.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Integração Pralog |
| `ns1.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Primário |
| `ns2.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Secundário |
| `dns-primario.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Admin |
> [!NOTE]
> **Legenda:** Docker = Container Docker | VM = Máquina Virtual (VMware/Hyper-V) | LXC = Linux Container (Proxmox)
>
> IPs marcados como `172.16.x.x` precisam ser verificados nos arquivos de configuração individuais.
---
*Mantido por IT Guys* *Mantido por IT Guys*

49
TODO.md
View File

@ -1,49 +0,0 @@
# Relatório de Diagnóstico e Pontos de Dor (Pain Points)
Este documento sumariza os problemas arquiteturais e técnicos identificados durante a tentativa de estabilizar o stack `nginx-pathfinder-proxy`. O objetivo é fornecer um contexto claro para um futuro Agente de IA simplificar a solução.
## 1. Arquitetura Excessivamente Complexa (Split Container)
Atualmente, temos dois containers NGINX separados:
1. **Frontend (`modsecurity`)**: Recebe a internet, faz WAF, termina SSL.
2. **Backend (`nginx-proxy`)**: Recebe do WAF, faz roteamento, gerencia certificados (Certbot), roda scripts.
**Problemas Causados:**
- **Inferno de Permissões (Permission Hell):** O Backend (onde roda o Certbot) gera certificados no volume compartilhado como `root`. O Frontend tenta ler esses arquivos e falha com `Permission denied` porque roda com outro UID/GID. Tentar corrigir com `chmod` é frágil e inseguro.
- **Configuração Duplicada:** É preciso configurar o Nginx duas vezes. Uma no Frontend (para saber onde estão os certs) e uma no Backend (para saber como tratar a requisição na porta 8080).
- **SSL "Ping-Pong":** O Backend gerencia a renovação, mas o Frontend é quem *usa* o certificado. Isso exige reload sincronizado em dois containers diferentes.
## 2. Problema do "Ovo e a Galinha" (SSL Bootstrap)
- O NGINX **não sobe** se o arquivo de certificado não existir.
- O Certbot **não gera** o certificado se o NGINX não estiver rodando (para responder o desafio HTTP-01).
- **Solução Atual (Gambiarra):** Criamos um script complexo (`pre-flight.sh` + `renew_ssl.sh`) que gera certificados falsos (self-signed) só para o NGINX subir, e depois tenta baixar os reais. Isso adiciona muita lógica propensa a falhas.
## 3. Fragilidade de Deploy (Portainer / Docker)
- **Mount Error:** O Portainer falha ao tentar montar arquivos de configuração (`modsec_conf/...`) que ainda não foram baixados pelo git no host.
- **Solução Atual:** Tivemos que "assar" (bake) as configurações dentro da imagem Docker (`COPY conf.d ...`). Isso tira a agilidade de alterar uma config no git e dar deploy rápido; agora exige rebuild da imagem.
## 4. Scripts de Automação Frágeis
- O script `pre-flight.sh` tenta fazer `git clone/pull` dentro do container. Isso gera erros de "Resource busy" quando tenta limpar pastas montadas via volume.
- Lógica de `sed/grep` para ler arquivos `.conf` e achar domínios é suscetível a erros de sintaxe no arquivo de config.
---
# Recomendação de Simplificação (Para o Próximo Agente)
### Opção A: Single "Super" Container (Recomendada)
Unificar tudo em um único container.
- **Base:** Usar a imagem oficial com ModSecurity já compilado (ou compilar num multi-stage build).
- **Benefício:** Resolve problemas de permissão (mesmo processo lê e escreve). Resolve problema de setup (um único serviço). Remove complexidade de rede (sem proxy pass interno desnecessário).
### Opção B: Caddy Server (Radical)
Substituir NGINX + Certbot por **Caddy**.
- **Benefício:** Caddy tem HTTPS automático (resolve o problema do Ovo/Galinha nativamente).
- **WAF:** Existe plugin de WAF para Caddy (Coraza), mas exige validação se atende os requisitos de segurança do Oestepan.
### Opção C: NGINX Proxy Manager (GUI)
Usar uma solução pronta como NGINX Proxy Manager.
- Tem interface web.
- Gerencia SSL sozinho.
- Pode ser difícil integrar ModSecurity customizado.
### Resumo do Pedido de Refatoração
> "Simplificar a infraestrutura eliminando a separação Frontend/Backend. Criar um container único que faça WAF + Proxy + SSL Management, eliminando scripts complexos de bootstrap e problemas de permissão de volume."

25
caddy_core/Caddyfile
View File

@ -1,25 +0,0 @@
{
# Global Options
email admin@oestepan.com.br
# Enable Admin API for the watcher to trigger reloads
admin :2019
}
# Import dynamic sites
import sites/*
# Default Site: Traccar GPS
gps.oestepan.com.br {
# Reverse Proxy to the backend service
reverse_proxy host.docker.internal:8083 {
# Trust original IPs
header_up X-Real-IP {remote_host}
header_up X-Forwarded-For {remote_host}
header_up X-Forwarded-Proto {scheme}
}
# Enable logging
log {
output file /var/log/caddy/gps.access.log
}
}

15
deploy.sh
View File

@ -1,15 +0,0 @@
#!/bin/bash
set -e
echo "Deploying Caddy Proxy..."
# Pull latest code
git pull
# Ensure containers are up
docker compose up -d
# Force a reload just in case
docker compose exec caddy caddy reload
echo "Deployment Complete."

28
docker-compose.yml
View File

@ -1,21 +1,21 @@
services: services:
caddy: traefik:
image: caddy:latest image: traefik:v2.10
container_name: proxy_caddy container_name: traefik
restart: always restart: always
ports: ports:
- "80:80" - "80:80"
- "443:443" - "443:443"
- "8080:8080" # Dashboard Traefik (remover em produção se exposto)
volumes: volumes:
- ./caddy_core/Caddyfile:/etc/caddy/Caddyfile - /var/run/docker.sock:/var/run/docker.sock:ro
- ./sites:/etc/caddy/sites - ./traefik.yml:/etc/traefik/traefik.yml:ro
- caddy_data:/data - ./dynamic_conf.yml:/etc/traefik/dynamic_conf.yml:ro
- caddy_config:/config - ./acme.json:/acme.json
- caddy_logs:/var/log/caddy networks:
extra_hosts: - proxy_network
- "host.docker.internal:host-gateway"
volumes: networks:
caddy_data: proxy_network:
caddy_config: external: false
caddy_logs: name: proxy_network

16
dynamic_conf.yml Normal file
View File

@ -0,0 +1,16 @@
http:
routers:
# Exemplo de Backend
# backend-example:
# rule: "Host(`site.itguys.com.br`)"
# service: example-service
# entryPoints:
# - websecure
# tls:
# certResolver: letsencrypt
services:
# example-service:
# loadBalancer:
# servers:
# - url: "http://172.16.x.x"

0
sites/.gitkeep
View File

38
traefik.yml Normal file
View File

@ -0,0 +1,38 @@
api:
dashboard: true
insecure: true
entryPoints:
web:
address: ":80"
http:
redirections:
entryPoint:
to: websecure
scheme: https
websecure:
address: ":443"
providers:
docker:
endpoint: "unix:///var/run/docker.sock"
exposedByDefault: false
file:
filename: /etc/traefik/dynamic_conf.yml
watch: true
log:
level: INFO
format: json
accessLog:
format: json
certificatesResolvers:
letsencrypt:
acme:
email: suporte@itguys.com.br
storage: acme.json
httpChallenge:
entryPoint: web