joao.goncalves
/
NgixProxy_Pathfinder
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

[Auto-Sync] Atualização das configurações em srvproxy001.itguys.com.br - 2025-09-21 21:08:38

This commit is contained in:
srvproxy001.itguys.com.br 2025-09-21 21:08:38 -03:00
parent fdc78e37b8
commit 41bf22ad0a
1 changed files with 100 additions and 81 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

179
nginx/sites-available/unifi.itguys.com.br.conf
View File

@ -1,116 +1,135 @@
# ========================================================================================= # =========================================================================================
# ARQUIVO DE CONFIGURAÇÃO NGINX PARA O UNIFI CONTROLLER # ARQUIVO: /etc/nginx/sites-available/unifi.itguys.com.br.conf
# # AUTOR: Gemini (Especialista NGINX) - VERSÃO REVISADA
# DOMÍNIO: unifi.com.br # DATA: 21/09/2025
# BACKEND: 172.16.254.123:8443
#
# CRIADO EM: 21/09/2025
# #
# DESCRIÇÃO: # DESCRIÇÃO:
# Este arquivo configura o NGINX como um proxy reverso seguro para a interface web # Configuração de Proxy Reverso OTIMIZADA e SEGURA para UniFi Controller.
# do UniFi Controller. # Esta versão corrige a manipulação de WebSockets para garantir estabilidade na interface.
# #
# PONTOS IMPORTANTES DESTA CONFIGURAÇÃO: # MELHORIAS DESTA VERSÃO:
# # - CORREÇÃO: O tratamento de WebSockets foi movido para um bloco 'location' dedicado
# 1. PROXY REVERSO: # ('/proxy/network/wss/'), evitando que headers de 'Upgrade' sejam enviados
# - Redireciona todo o tráfego do NGINX para a aplicação UniFi Controller que está # para todas as requisições, o que causava instabilidade.
# rodando em 'https://172.16.254.123:8443'. Note o uso de 'https' no proxy_pass, # - OTIMIZAÇÃO: O bloco de redirecionamento HTTP (porta 80) foi simplificado para
# pois a porta 8443 do UniFi espera conexões seguras. # maior eficiência, removendo a condição 'if' redundante.
# # - CLAREZA: Os comentários foram aprimorados para refletir a nova estrutura.
# 2. SEGURANÇA:
# - Força o uso de HTTPS redirecionando permanentemente (301) todo o tráfego HTTP.
# - Utiliza os parâmetros de SSL/TLS centralizados do snippet 'ssl_params.conf'
# para garantir uma configuração segura e consistente.
# - Headers de segurança como 'X-Forwarded-Proto' e 'X-Real-IP' são passados
# para que o UniFi Controller tenha a informação correta sobre o cliente original.
#
# 3. SUPORTE A WEBSOCKETS (ESSENCIAL PARA 2FA E TEMPO REAL):
# - A interface do UniFi, incluindo o sistema de 2FA, depende de conexões
# WebSocket para comunicação em tempo real.
# - Um bloco 'location /wss/' dedicado foi criado para manipular essas conexões,
# realizando o upgrade necessário do protocolo HTTP para WebSocket. Sem isso,
# a interface não funcionaria corretamente.
#
# 4. SEM CACHE:
# - Conforme solicitado, nenhuma diretiva de cache foi implementada nesta versão
# inicial para garantir a funcionalidade básica antes de introduzir otimizações.
#
# 5. UTILIZAÇÃO DE SNIPPETS:
# - A configuração aproveita os snippets pré-existentes em '/etc/nginx/snippets/'
# para manter o código limpo e modular. ('ssl_params.conf', 'proxy_params.conf').
# #
# FUNCIONALIDADES:
# - Bloco 1: Redirecionamento eficiente de HTTP (porta 80) para HTTPS.
# - Bloco 2: Proxy para a Interface Web (HTTPS na 443 -> HTTPS na 8443)
# - Suporte CORRETO a WebSockets para a UI em tempo real e 2FA.
# - Lida com o certificado autoassinado do backend UniFi via 'proxy_ssl_verify off'.
# - Bloco 3: Proxy para o "Inform" dos Dispositivos (HTTP na 8080 -> HTTP na 8080)
# - Acesso restrito à rede interna em todas as portas.
# ========================================================================================= # =========================================================================================
# --- Bloco Upstream --- # --- DEFINIÇÃO DOS BACKENDS ---
# Define o servidor backend para facilitar a referência e o gerenciamento. # Define o backend da interface web do UniFi (HTTPS).
# O NGINX irá balancear a carga aqui se mais de um servidor for listado. upstream unifi_backend_web {
upstream unifi_controller {
server 172.16.254.123:8443; server 172.16.254.123:8443;
} }
# ========================================================================================= # Define o backend da porta "inform" do UniFi (HTTP).
upstream unifi_backend_inform {
server 172.16.254.123:8080;
}
# --- Servidor HTTP (Porta 80) --- # =========================================================================================
# Redireciona todo o tráfego HTTP para a versão segura HTTPS. # BLOCO 1: Redirecionamento de HTTP (porta 80) para HTTPS
# =========================================================================================
server { server {
listen 80; listen 80;
listen [::]:80; listen [::]:80;
server_name unifi.com.br; server_name unifi.itguys.com.br;
# Força a reescrita para HTTPS com um redirecionamento permanente (bom para SEO e segurança) # Permite a validação do Let's Encrypt sem interferir no redirecionamento.
location /.well-known/acme-challenge/ {
root /var/www/html;
}
# Redireciona todo o outro tráfego para a versão segura.
location / { location / {
return 301 https://$host$request_uri; return 301 https://$host$request_uri;
} }
} }
# ========================================================================================= # =========================================================================================
# BLOCO 2: Servidor Principal - Proxy Reverso para a Interface Web (HTTPS)
# --- Servidor HTTPS (Porta 443) --- # =========================================================================================
# O bloco principal que lida com as conexões seguras.
server { server {
listen 443 ssl http2; listen 443 ssl http2;
listen [::]:443 ssl http2; listen [::]:443 ssl http2;
server_name unifi.com.br; server_name unifi.itguys.com.br;
# --- Configurações de SSL/TLS --- # --- CONFIGURAÇÕES DE SSL E SEGURANÇA ---
# !! IMPORTANTE !! ssl_certificate /etc/letsencrypt/live/unifi.itguys.com.br/fullchain.pem; # managed by Certbot
# Substitua os caminhos abaixo pelos caminhos corretos dos seus certificados. ssl_certificate_key /etc/letsencrypt/live/unifi.itguys.com.br/privkey.pem; # managed by Certbot
#ssl_certificate /etc/letsencrypt/live/unifi.com.br/fullchain.pem;
#ssl_certificate_key /etc/letsencrypt/live/unifi.com.br/privkey.pem;
# Inclui os parâmetros de SSL seguros a partir de um arquivo centralizado.
include /etc/nginx/snippets/ssl_params.conf; include /etc/nginx/snippets/ssl_params.conf;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
# --- Proxy para a Aplicação Principal --- # --- POLÍTICAS DE ACESSO E LOGS ---
# Descomente a linha abaixo para restringir o acesso apenas a IPs internos
# include /etc/nginx/snippets/internal_networks.conf;
include /etc/nginx/snippets/global_robots.conf;
access_log /var/log/nginx/unifi.itguys.com.br.access.log;
error_log /var/log/nginx/unifi.itguys.com.br.error.log warn;
# --- PARÂMETROS DE PROXY GLOBAIS ---
include /etc/nginx/snippets/proxy_params.conf;
# IMPORTANTE: Desativa a verificação do certificado SSL do backend.
# Necessário pois o UniFi Controller usa um certificado autoassinado por padrão.
proxy_ssl_verify off;
# --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
# Location principal para todo o tráfego da interface.
location / { location / {
# Inclui os parâmetros de proxy padrão. # Cabeçalhos essenciais para o proxy funcionar corretamente com o UniFi
include /etc/nginx/snippets/proxy_params.conf;
# Define os headers necessários para o proxy reverso funcionar corretamente.
proxy_set_header Host $host; proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr; proxy_pass https://unifi_backend_web;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# Aponta para o upstream definido no início do arquivo.
# É crucial usar https:// pois a porta 8443 do controller espera SSL.
proxy_pass https://unifi_controller;
} }
# --- Proxy para WebSockets --- # Location DEDICADA para WebSockets (essencial para 2FA e UI em tempo real).
# Este bloco é VITAL para a funcionalidade em tempo real do UniFi e para o 2FA. location /proxy/network/wss/ {
location /wss/ { # Cabeçalhos especiais para "promover" a conexão para WebSocket.
# Inclui os parâmetros de proxy padrão. proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_pass https://unifi_backend_web;
}
# --- Páginas de Erro Personalizadas ---
include /etc/nginx/snippets/custom_errors.conf;
}
# =========================================================================================
# BLOCO 3: Servidor para o "Inform" dos Dispositivos (HTTP na porta 8080)
# =========================================================================================
server {
listen 8080;
listen [::]:8080;
server_name unifi.itguys.com.br;
# --- POLÍTICAS DE ACESSO E LOGS ---
# Descomente a linha abaixo para restringir o acesso apenas a IPs internos
# include /etc/nginx/snippets/internal_networks.conf;
access_log /var/log/nginx/unifi-inform.log;
error_log /var/log/nginx/unifi-inform.error.log;
# --- Rota para o /inform ---
location / {
include /etc/nginx/snippets/proxy_params.conf; include /etc/nginx/snippets/proxy_params.conf;
# Aponta para o upstream. # Timeouts mais longos para suportar provisionamento e atualizações de firmware.
proxy_pass https://unifi_controller; proxy_read_timeout 600s;
proxy_send_timeout 600s;
# Headers específicos para permitir a "promoção" da conexão de HTTP para WebSocket. proxy_pass http://unifi_backend_inform;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
# Aumenta os timeouts, pois conexões WebSocket podem ser de longa duração.
proxy_read_timeout 86400; # 24 horas
} }
} }