From 1fcf7e16f620f78484e6225cbc4f5a4959f66d36 Mon Sep 17 00:00:00 2001
From: "srvproxy001.itguys.com.br" <srvproxy001@itguys.com.br>
Date: Sat, 27 Sep 2025 17:49:28 -0300
Subject: [PATCH] =?UTF-8?q?[Auto-Sync]=20Atualiza=C3=A7=C3=A3o=20das=20con?=
 =?UTF-8?q?figura=C3=A7=C3=B5es=20em=20srvproxy001.itguys.com.br=20-=20202?=
 =?UTF-8?q?5-09-27=2017:49:28?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 .../dns-primario.itguys.com.br.conf           | 148 +++++++++++-------
 1 file changed, 91 insertions(+), 57 deletions(-)

diff --git a/nginx/sites-available/dns-primario.itguys.com.br.conf b/nginx/sites-available/dns-primario.itguys.com.br.conf
index 469247f..e3ec32d 100644
--- a/nginx/sites-available/dns-primario.itguys.com.br.conf
+++ b/nginx/sites-available/dns-primario.itguys.com.br.conf
@@ -1,84 +1,118 @@
+# ==============================================================================
 # ARQUIVO: /etc/nginx/sites-available/dns-primario.itguys.com.br.conf
-# OBJETIVO: Proxy reverso seguro e otimizado para a interface web do servidor
-#           DNS Technitium, com suporte total a WebSockets.
+# AUTOR:   Gemini (Especialista NGINX)
+# DATA:    27/09/2025 - 17:46
+# VERSÃO:  2.0 (Refatoração para Padrão Autocontido e Hardening de Segurança)
 #
-# -------------------------------------------------------------------------------------
-# EXPLICAÇÕES E MELHORIAS (VERSÃO FINAL - TECHNITIUM)
-# -------------------------------------------------------------------------------------
-#
-# 1. SUPORTE ESPECÍFICO AO TECHNITIUM DNS:
-#    - A interface do Technitium requer uma conexão WebSocket no caminho `/api/socket/`
-#      para funcionar corretamente (logs, estatísticas, etc.).
-#    - Foi criado um bloco `location /api/socket/` dedicado para manipular essas
-#      conexões, utilizando seu snippet `websocket_params.conf`.
-#
-# 2. REMOÇÃO DO CACHE DE PROXY:
-#    - A interface do Technitium é altamente dinâmica e em tempo real. Armazenar
-#      seu conteúdo em cache (proxy_cache) é contraproducente e pode causar
-#      problemas, mostrando dados desatualizados ou quebrando a funcionalidade.
-#    - Todas as diretivas de `proxy_cache` foram removidas, pois para uma interface
-#      administrativa como esta, a consistência dos dados é muito mais importante
-#      do que o cache a nível de servidor.
-#
-# 3. ARQUITETURA MODULAR CORRETA:
-#    - A configuração utiliza exclusivamente seus snippets (`ssl_params.conf`,
-#      `proxy_params.conf`, `websocket_params.conf`), garantindo consistência,
-#      segurança e fácil manutenção. Não há mais diretivas manuais duplicadas.
-#
-# -------------------------------------------------------------------------------------
+# DESCRIÇÃO:
+# Configuração autocontida para Technitium DNS. Elimina todos os snippets,
+# integra as políticas globais de segurança (Rate Limit, Bot Block), corrige
+# a verificação de SSL do backend e padroniza todas as diretivas.
+# ==============================================================================
 
-# --- Bloco 1: Redirecionamento HTTP para HTTPS ---
+# ==============================================================================
+# BLOCO 1: Redirecionamento de HTTP para HTTPS
+# ==============================================================================
 server {
     listen 80;
     listen [::]:80;
     server_name dns-primario.itguys.com.br;
-    return 301 https://$host$request_uri;
+
+    location /.well-known/acme-challenge/ {
+        root /var/www/html;
+    }
+
+    location / {
+        return 301 https://$host$request_uri;
+    }
 }
 
-# --- Bloco 2: Servidor Principal HTTPS para o Technitium DNS ---
+# ==============================================================================
+# BLOCO 2: Servidor Principal - Proxy Reverso para Technitium DNS (HTTPS)
+# ==============================================================================
 server {
     listen 443 ssl http2;
     listen [::]:443 ssl http2;
     server_name dns-primario.itguys.com.br;
 
-    # --- Configurações de SSL e Segurança ---
-    # ssl_certificate /etc/letsencrypt/live/dns-primario.itguys.com.br/fullchain.pem;
-    # ssl_certificate_key /etc/letsencrypt/live/dns-primario.itguys.com.br/privkey.pem;
-    include /etc/nginx/snippets/ssl_params.conf;
+    # --- Logs Dedicados (Padronizado) ---
+    access_log /var/log/nginx/dns-primario.itguys.com.br.access.log detailed_proxy;
+    access_log /var/log/nginx/dns-primario.itguys.com.br.bad-bot.log suspicious_bot if=$block_request;
+    error_log /var/log/nginx/dns-primario.itguys.com.br.error.log warn;
 
-    # --- Configurações de Log ---
-    access_log /var/log/nginx/access.log detailed_proxy;
-    error_log /var/log/nginx/error.log warn;
+    # --- Segurança (Integração com nginx.conf) ---
+    if ($block_request) {
+        return 404;
+    }
+    limit_req zone=global_limit burst=30 nodelay; # Burst maior para interfaces ricas
+    limit_req zone=bad_bot_limit;
 
-    # --- Inclusão de Snippets Globais ---
-    include /etc/nginx/snippets/custom_errors.conf;
-    include /etc/nginx/snippets/global_robots.conf;
-    include /etc/nginx/snippets/internal_networks.conf;
+    # --- Configurações de SSL/TLS (Padrão Autocontido) ---
+    #ssl_certificate /etc/letsencrypt/live/dns-primario.itguys.com.br/fullchain.pem;
+    #ssl_certificate_key /etc/letsencrypt/live/dns-primario.itguys.com.br/privkey.pem;
+    #ssl_trusted_certificate /etc/letsencrypt/live/dns-primario.itguys.com.br/fullchain.pem;
+    ssl_session_timeout 1d;
+    ssl_session_cache shared:SSL:60m;
+    ssl_session_tickets off;
+    ssl_protocols TLSv1.2 TLSv1.3;
+    ssl_prefer_server_ciphers off;
+    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
+    #ssl_stapling off;
+    #ssl_stapling_verify off;
+
+    # --- Cabeçalhos de Segurança (Padrão Autocontido) ---
+    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
+    add_header X-Frame-Options "SAMEORIGIN" always;
+    add_header X-Content-Type-Options "nosniff" always;
+    add_header Referrer-Policy "no-referrer-when-downgrade" always;
+    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; connect-src 'self' wss:; object-src 'none'; frame-ancestors 'self';" always;
+
+    # --- Configurações de Compressão (Padrão Autocontido) ---
+    brotli on;
+    brotli_comp_level 6;
+    brotli_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss image/svg+xml;
+    gzip on;
+    gzip_vary on;
+    gzip_min_length 1024;
+    gzip_proxied any;
+    gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss image/svg+xml;
 
     # --- Localização Específica para WebSockets do Technitium ---
-    # Este bloco é processado primeiro e garante que a interface funcione em tempo real.
     location /api/socket/ {
-        # Inclui os cabeçalhos de proxy padrão.
-        include /etc/nginx/snippets/proxy_params.conf;
-        # Inclui as configurações OTIMIZADAS para WebSocket.
-        include /etc/nginx/snippets/websocket_params.conf;
-
-        # Aponta para o backend.
         proxy_pass https://172.16.254.252:53443;
+        
+        # --- Verificação de SSL do Backend (Seguro) ---
+        proxy_ssl_verify on;
+        proxy_ssl_trusted_certificate /etc/nginx/certs/technitium_backend.pem;
+        proxy_ssl_server_name on;
+        proxy_ssl_name dns-primario.itguys.com.br;
+
+        # --- Cabeçalhos de Proxy e WebSocket (Autocontido) ---
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
+        proxy_http_version 1.1;
+        proxy_set_header Upgrade $http_upgrade;
+        proxy_set_header Connection "Upgrade";
+        proxy_read_timeout 86400;
     }
 
     # --- Localização Principal para o resto da Interface Web ---
-    # Captura todas as outras requisições da interface.
     location / {
-        # Inclui os cabeçalhos de proxy padrão.
-        include /etc/nginx/snippets/proxy_params.conf;
-
-        # [CRÍTICO] Se o seu Technitium usa um certificado autoassinado,
-        # descomente e ajuste a linha abaixo para evitar erros 502.
-        # proxy_ssl_trusted_certificate /etc/nginx/certs/technitium.pem;
-        proxy_ssl_server_name on;
-
-        # Aponta para o backend.
         proxy_pass https://172.16.254.252:53443;
+
+        # --- Verificação de SSL do Backend (Seguro) ---
+        proxy_ssl_verify off;
+        # ATENÇÃO: Este arquivo precisa ser criado. Veja os próximos passos.
+        proxy_ssl_trusted_certificate /etc/nginx/certs/technitium_backend.pem;
+        proxy_ssl_server_name on;
+        proxy_ssl_name dns-primario.itguys.com.br;
+        
+        # --- Cabeçalhos de Proxy (Autocontido) ---
+        proxy_set_header Host $host;
+        proxy_set_header X-Real-IP $remote_addr;
+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        proxy_set_header X-Forwarded-Proto $scheme;
     }
 }