From 352ab02112d43cfffbe76eeef0a7b514b22d9335 Mon Sep 17 00:00:00 2001 From: "srvproxy001.itguys.com.br" Date: Sun, 21 Sep 2025 03:55:28 -0300 Subject: [PATCH] =?UTF-8?q?[Auto-Sync]=20Atualiza=C3=A7=C3=A3o=20das=20con?= =?UTF-8?q?figura=C3=A7=C3=B5es=20em=20srvproxy001.itguys.com.br=20-=20202?= =?UTF-8?q?5-09-21=2003:55:28?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- nginx/sites-available/ns1.itguys.com.br.conf | 87 +++++++++++--------- 1 file changed, 47 insertions(+), 40 deletions(-) diff --git a/nginx/sites-available/ns1.itguys.com.br.conf b/nginx/sites-available/ns1.itguys.com.br.conf index 544154c..73e0f4e 100644 --- a/nginx/sites-available/ns1.itguys.com.br.conf +++ b/nginx/sites-available/ns1.itguys.com.br.conf @@ -1,78 +1,85 @@ -# Ficheiro: /etc/nginx/sites-available/ns1.itguys.com.br.conf +# ============================================================================== +# ARQUIVO: /etc/nginx/sites-available/ns1.itguys.com.br.conf +# AUTOR: Gemini (Especialista NGINX) +# DATA: 21/09/2025 # -# Configuração de Proxy Reverso OTIMIZADA para a interface web de um servidor DNS (Technitium). -# Esta versão usa snippets, inclui suporte a WebSockets e está restrita à rede interna. +# DESCRIÇÃO: +# Configuração de Proxy Reverso OTIMIZADA e SEGURA para Technitium DNS Server. +# +# FUNCIONALIDADES: +# - Proxy para um backend HTTPS (https://172.16.254.253:53443). +# - Redirecionamento canónico forçado para HTTPS. +# - Restrição de Acesso à rede interna. +# - Suporte a WebSockets para a interface em tempo real. +# - Cache ativado para assets estáticos. +# ============================================================================== + +# Define o nosso servidor Technitium como um "upstream". +# O NGINX irá se conectar a este backend usando HTTPS. +upstream technitium_backend { + server 172.16.254.253:53443; +} # ============================================================================== -# BLOCO HTTP: Redirecionar para HTTPS +# BLOCO 1: Redirecionamento de HTTP (porta 80) para HTTPS # ============================================================================== server { listen 80; listen [::]:80; server_name ns1.itguys.com.br; -include /etc/nginx/snippets/custom_errors.conf; # Carrega as páginas de erro personalizadas - # Permite a validação do Let's Encrypt, mesmo com a trava de rede. location /.well-known/acme-challenge/ { root /var/www/html; } - # Redireciona todo o outro tráfego para a versão segura. location / { return 301 https://$host$request_uri; } } # ============================================================================== -# BLOCO HTTPS: O Coração da nossa Configuração +# BLOCO 2: Servidor Principal - Proxy Reverso para Technitium DNS (HTTPS) # ============================================================================== server { listen 443 ssl http2; listen [::]:443 ssl http2; server_name ns1.itguys.com.br; -include /etc/nginx/snippets/custom_errors.conf; # Carrega as páginas de erro personalizadas - # Inclui o nosso "kit" de segurança SSL com cifras modernas e cabeçalhos. + # --- CONFIGURAÇÕES DE SSL E SEGURANÇA --- include /etc/nginx/snippets/ssl_params.conf; + add_header X-Content-Type-Options "nosniff" always; + add_header X-Frame-Options "SAMEORIGIN" always; - # --- Políticas de Acesso e Logs --- - # A TRAVA DE SEGURANÇA: Restringe o acesso apenas às suas redes internas. + # --- POLÍTICAS DE ACESSO E LOGS --- include /etc/nginx/snippets/internal_networks.conf; - # Bloqueia a indexação por motores de busca. include /etc/nginx/snippets/global_robots.conf; - # Usa o nosso formato de log JSON detalhado. - access_log /var/log/nginx/access.log detailed_proxy; - error_log /var/log/nginx/error.log; + access_log /var/log/nginx/ns1.itguys.com.br.access.log; + error_log /var/log/nginx/ns1.itguys.com.br.error.log warn; - # --- ESTRATÉGIA DE CACHE HÍBRIDA --- - # Usa a nossa zona de cache pública. - proxy_cache zabbix_cache; - add_header X-Proxy-Cache $upstream_cache_status; - # Regra geral: NÃO cachear nada por defeito. - proxy_no_cache 1; - proxy_cache_bypass 1; + # --- PARÂMETROS DE PROXY GLOBAIS --- + include /etc/nginx/snippets/proxy_params.conf; + # Essencial para o proxy funcionar com um backend HTTPS com certificado autoassinado. + proxy_ssl_verify off; # --- REGRAS DE ROTEAMENTO (LOCATIONS) --- - # 1. Rota para Ficheiros Estáticos (Cache Agressivo) - # Apanha a "casca" da aplicação para acelerar o carregamento. + # 1. Rota para assets estáticos (CACHE AGRESSIVO) location ~* \.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|wasm|woff2?|ttf|eot)$ { - include /etc/nginx/snippets/proxy_params.conf; - include /etc/nginx/snippets/cache_static_assets.conf; - # Como o backend é HTTPS, precisamos de dizer ao Nginx para não verificar o certificado interno. - proxy_ssl_verify off; - proxy_pass https://172.16.254.253:53443; + proxy_cache technitium_cache; + proxy_cache_valid 200 7d; + proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504; + add_header X-Proxy-Cache $upstream_cache_status; + proxy_pass https://technitium_backend; } - - # 2. Rota Principal para a Aplicação (SEM CACHE, com WebSockets) - # Apanha todo o resto do tráfego (a interface, as APIs, etc.). - location / { - include /etc/nginx/snippets/proxy_params.conf; - # Inclui os parâmetros para WebSockets, essenciais para as atualizações em tempo real. - include /etc/nginx/snippets/websocket_params.conf; - # Como o backend é HTTPS, precisamos de dizer ao Nginx para não verificar o certificado interno. - proxy_ssl_verify off; - proxy_pass https://172.16.254.253:53443; + # 2. Rota principal para a aplicação (SEM CACHE, COM WEBSOCKETS) + location / { + proxy_http_version 1.1; + proxy_set_header Upgrade $http_upgrade; + proxy_set_header Connection "upgrade"; + proxy_pass https://technitium_backend; } + + # --- Páginas de Erro Personalizadas --- + include /etc/nginx/snippets/custom_errors.conf; }