diff --git a/nginx/sites-available/zammad.itguys.com.br.conf b/nginx/sites-available/zammad.itguys.com.br.conf index d3aa937..bb77637 100644 --- a/nginx/sites-available/zammad.itguys.com.br.conf +++ b/nginx/sites-available/zammad.itguys.com.br.conf @@ -1,7 +1,8 @@ # Ficheiro: /etc/nginx/sites-available/zammad.itguys.com.br.conf # -# Configuração de Proxy Reverso com cache HÍBRIDO e suporte a WebSockets, -# otimizada especificamente para o Zammad. +# TEMPLATE DE CONFIGURAÇÃO OTIMIZADO PARA APLICAÇÕES WEB MODERNAS +# Este ficheiro foi reescrito para usar snippets, tornando-o mais limpo, seguro e fácil de manter. +# Acesso: RESTRITO À REDE INTERNA. # ============================================================================== # BLOCO HTTP: Redirecionar para HTTPS @@ -22,58 +23,57 @@ server { listen [::]:443 ssl http2; server_name zammad.itguys.com.br; - # Certificados SSL (Geridos pelo Certbot) + # --- Certificados e Segurança SSL --- ssl_certificate /etc/letsencrypt/live/zammad.itguys.com.br/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/zammad.itguys.com.br/privkey.pem; + ssl_trusted_certificate /etc/letsencrypt/live/zammad.itguys.com.br/fullchain.pem; + # Inclui o nosso "kit" de segurança SSL com cifras modernas e cabeçalhos. + include /etc/nginx/snippets/ssl_params.conf; - # Cabeçalhos de Segurança Padrão - add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; - - # Configurações de Log + # --- Políticas de Acesso e Logs --- + # A CORREÇÃO ESTÁ AQUI: A trava de rede é incluída APENAS neste ficheiro de site. + include /etc/nginx/conf.d/internal_networks.conf; + include /etc/nginx/snippets/robots_block_all.conf; access_log /var/log/nginx/access.log detailed_proxy; error_log /var/log/nginx/error.log; # Aumenta o tamanho máximo do corpo da requisição para permitir anexos grandes. client_max_body_size 50M; - # --- CABEÇALHOS DE PROXY GLOBAIS --- - proxy_set_header Host $http_host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - # --- ESTRATÉGIA DE CACHE HÍBRIDA --- proxy_cache zammad_cache; add_header X-Proxy-Cache $upstream_cache_status; - proxy_no_cache 1; + proxy_no_cache 1; # Regra geral: NÃO cachear por defeito. proxy_cache_bypass 1; - # --- LOCALIZAÇÃO PARA FICHEIROS ESTÁTICOS (CACHE ATIVADO) --- + # --- REGRAS DE ROTEAMENTO (LOCATIONS) --- + + # 1. Localização para Ficheiros Estáticos (CACHE ATIVADO) location /assets/ { - proxy_no_cache 0; - proxy_cache_bypass 0; - proxy_cache_valid 200 60m; - expires 7d; - proxy_pass http://zammad.itguys.com.br; + # Inclui o nosso "kit" de cache para ficheiros estáticos. + include /etc/nginx/snippets/cache_static_assets.conf; + # Inclui os cabeçalhos de proxy padrão. + include /etc/nginx/snippets/proxy_params.conf; + proxy_pass http://172.16.254.59; } - # --- LOCALIZAÇÃO PARA WEBSOCKETS (COM A PORTA CORRIGIDA) --- - # Esta regra captura a URL /ws que estava a falhar no log do F12. + # 2. Localização para WebSockets (SEM CACHE) location /ws { - # Cabeçalhos essenciais para "promover" a conexão para WebSocket. - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; + # Inclui os cabeçalhos de proxy padrão. + include /etc/nginx/snippets/proxy_params.conf; + # Inclui os parâmetros específicos para WebSockets. + include /etc/nginx/snippets/websocket_params.conf; - # A CORREÇÃO CRUCIAL ESTÁ AQUI: - # Encaminhamos para a porta 6042, onde o serviço de WebSocket do Zammad está a escutar. - proxy_pass http://zammad.itguys.com.br:6042; + # Encaminha para a porta correta do serviço de WebSocket do Zammad. + proxy_pass http://172.16.254.59:6042; } - # --- LOCALIZAÇÃO PRINCIPAL PARA A APLICAÇÃO (SEM CACHE) --- - # Esta regra apanha todo o resto do tráfego (páginas, APIs). + # 3. Localização Principal para a Aplicação (SEM CACHE) location / { - # O cache permanece desativado aqui. - proxy_pass http://zammad.itguys.com.br; + # Inclui os cabeçalhos de proxy padrão. + include /etc/nginx/snippets/proxy_params.conf; + proxy_pass http://172.16.254.59; } } + +