joao.goncalves
/
NgixProxy_Pathfinder
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

site-ferreira-real update

This commit is contained in:
João Pedro Toledo Goncalves 2026-01-29 08:45:22 -03:00
parent f6117c9750
commit 9a855a5e12
2 changed files with 293 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

135
.gemini/GEMINI.md Normal file
View File

@ -0,0 +1,135 @@
# NGINX Pathfinder Proxy - Documentação Técnica
## Visão Geral
Projeto de infraestrutura para Proxy Reverso de Alta Disponibilidade, utilizando Containers Docker para modularidade e fácil manutenção.
## Arquitetura de Containers
O projeto roda sobre 3 serviços orquestrados via `docker-compose.yml`:
| Serviço | Imagem | Porta Exposta | Função |
|---------|--------|---------------|--------|
| **modsecurity** | `owasp/modsecurity-crs:nginx-alpine` | `80`, `443` | **Frontend (WAF)**. Recebe todo o tráfego da internet, filtra ataques (SQLi, XSS) e encaminha requisições limpas para o Proxy. |
| **nginx-proxy** | `alpine` (Custom Build) | `8080` (Interna) | **Backend Proxy**. Gerencia vhosts, terminação SSL, cache, compressão Brotli e roteamento para as aplicações finais. |
| **fail2ban** | `crazymax/fail2ban` | - | **Watchdog**. Lê logs compartilhados dos dois containers acima e bane IPs maliciosos diretamente no host (via iptables). |
---
## Automação SSL
O sistema possui um mecanismo de **auto-cura** para certificados SSL.
### Componentes
1. **Certbot**: Instalado dentro do container `nginx-proxy`.
2. **Volumes**:
- `ssl/`: Onde ficam os arquivos `.crt` e `.key` usados pelo NGINX.
- `certbot/`: Onde o Certbot guarda os arquivos originais do Let's Encrypt.
3. **Scripts**:
- `scripts/inject_acme.sh`: Varre todos os arquivos em `conf.d/` e injeta o snippet de validação ACME (`.well-known`) se não existir.
- `scripts/renew_ssl.sh`:
1. Verifica a data de expiração de cada certificado ativo.
2. Se faltar **3 dias ou menos**, dispara `certbot renew`.
3. Copia os novos arquivos gerados para a pasta `ssl/`.
4. Recarrega o NGINX.
### Agendamento
- **Cron**: Configurado no `pre-flight.sh` para rodar todos os dias às **01:00 AM**.
- **Startup**: A verificação também roda a cada reinício do container.
---
## Estrutura de Arquivos
```
.
├── conf.d/ # Configurações de sites (VHosts)
├── snippets/ # Trechos reutilizáveis
│ ├── acme_challenge.conf # Snippet para validação Let's Encrypt
│ ├── internal_networks.conf # IPs permitidos (VPN/Local)
│ └── ...
├── scripts/ # Scripts de automação
│ ├── pre-flight.sh # Entrypoint (DNS Check + Cron Setup)
│ ├── inject_acme.sh # Injetor de config ACME
│ └── renew_ssl.sh # Lógica de renovação
├── ssl/ # Certificados em uso
├── fail2ban/ # Configs do Fail2ban
│ ├── jail.d/ # Definição das prisões
│ └── filter.d/ # Regex de detecção
├── .gemini/ # Documentação do projeto
└── docker-compose.yml # Orquestração
```
---
## Módulos Especiais
### 1. Brotli & Headers More
O container `nginx-proxy` é construído manualmente (`Dockerfile`) para incluir módulos que não vêm por padrão no Alpine:
- `nginx-mod-http-brotli`
- `nginx-mod-http-headers-more`
### 2. ModSecurity (WAF)
Rodar o WAF em container separado (`modsecurity`) evita a necessidade de compilar o ModSecurity no NGINX principal.
**Arquitetura Customizada:**
- **Injeção de Template**: Um arquivo `modsec.conf.template` local é montado durante o boot para contornar limitações de permissão do container oficial. Ele instrui o NGINX a carregar regras customizadas.
- **Regras Modulares**: Localizadas em `modsec_rules/`, divididas por aplicação (`gitea-rule-exceptions.conf`, `nextcloud...`).
- **Global**: `global-exceptions.conf` define apenas a whitelist de rede.
- **Bypass de Emergência**: Se o WAF falhar, altere as portas no `docker-compose.yml` para expor o `nginx-proxy` diretamente.
---
## Fluxo de Deploy Atualizado
```mermaid
graph TD
Start[Deploy] --> DetectIP[Detectar IP Público]
DetectIP --> Build[Docker Build (NGINX + Certbot)]
Build --> Up[Docker Compose Up]
Up --> PreFlight[Pre-Flight Script]
PreFlight --> DNSCheck[Validar DNS dos Domínios]
DNSCheck --> CronSetup[Configurar Cron Job]
CronSetup --> SSLCheck[Verificar Validade SSL]
SSLCheck -- Vence > 3 dias --> StartNginx[Iniciar NGINX]
SSLCheck -- Vence <= 3 dias --> Renew[Rodar renew_ssl.sh]
Renew --> StartNginx
```
---
## Comandos Operacionais
**Verificar status dos serviços:**
```bash
docker compose ps
```
**Verificar validade dos SSL (Log):**
```bash
docker compose logs nginx-proxy | grep "SSL"
```
**Forçar renovação SSL manualmente:**
```bash
docker compose exec nginx-proxy /scripts/renew_ssl.sh
```
**Reload Zero-Downtime (Blue-Green Logic):**
Este comando valida a configuração e executa um reload gracioso (`nginx -s reload`), onde novos workers assumem as novas configurações enquanto os antigos terminam as requisições correntes.
```bash
./scripts/reload.sh # Linux
./scripts/reload.ps1 # Windows PowerShell
```
**Banir um IP manualmente:**
```bash
docker compose exec fail2ban fail2ban-client set nginx-badbots banip 1.2.3.4
```
**Adicionar novo site:**
1. Criar `conf.d/novo-site.conf`
2. `docker compose restart nginx-proxy`
3. O script de startup irá validar o DNS e injetar o suporte ACME automaticamente.

158
conf.d/ferreirareal.com.br.conf Normal file
View File

@ -0,0 +1,158 @@
# ==============================================================================
# ARQUIVO: /etc/nginx/sites-available/ferreirareal.com.br.conf
# DESCRIÇÃO:
# Configuração de Proxy Reverso OTIMIZADA para o site ferreirareal.com.br.
# Força HTTPS, redireciona www para não-www e inclui melhores práticas de
# segurança, cache e SEO.
# ==============================================================================
# Define o servidor de backend para o site.
upstream ferreirareal_backend {
server 172.112.1.2:8081;
}
# ==============================================================================
# BLOCO 1: Redirecionamento de HTTP (porta 80) para HTTPS (não-www)
# ==============================================================================
server {
if ($host = www.ferreirareal.com.br) {
return 301 https://$host$request_uri;
} # managed by Certbot
if ($host = ferreirareal.com.br) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80;
server_name ferreirareal.com.br www.ferreirareal.com.br;
# Permite a renovação de certificado Let's Encrypt.
location /.well-known/acme-challenge/ {
root /var/www/html; # Ajuste este caminho se necessário.
}
# Redireciona todo o resto para a versão segura e canônica.
location / {
return 301 https://ferreirareal.com.br$request_uri;
}
}
# ==============================================================================
# BLOCO 2: Redirecionamento de HTTPS com WWW para a versão sem WWW
# ==============================================================================
server {
listen 443 ssl http2;
server_name www.ferreirareal.com.br;
# --- IMPORTANTE: Substitua pelos caminhos dos seus certificados ---
#ssl_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
#ssl_certificate_key /etc/letsencrypt/live/ferreirareal.com.br/privkey.pem;
#ssl_trusted_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
# Apenas redireciona, não precisa de mais nada aqui.
return 301 https://ferreirareal.com.br$request_uri;
ssl_certificate /etc/letsencrypt/live/www.ferreirareal.com.br/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.ferreirareal.com.br/privkey.pem; # managed by Certbot
}
# ==============================================================================
# BLOCO 3: Servidor Principal - Proxy Reverso (HTTPS, não-www)
# ==============================================================================
server {
listen 443 ssl http2;
server_name ferreirareal.com.br;
# --- Logs ---
access_log /var/log/nginx/ferreirareal.com.br.access.log detailed_proxy;
access_log /var/log/nginx/ferreirareal.com.br.bad-bot.log suspicious_bot if=$block_request;
error_log /var/log/nginx/ferreirareal.com.br.error.log warn;
# --- Segurança (Integração com nginx.conf) ---
if ($block_request) {
return 404; # Bloqueia bots e scanners conhecidos
}
limit_req zone=global_limit burst=20 nodelay; # Limite de requisições geral
limit_req zone=bad_bot_limit; # Limite mais estrito para bots
# --- Configurações de SSL/TLS Otimizadas ---
# IMPORTANTE: Garanta que os caminhos abaixo estão corretos.
#ssl_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
#ssl_certificate_key /etc/letsencrypt/live/ferreirareal.com.br/privkey.pem;
#ssl_trusted_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:60m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_stapling on;
ssl_stapling_verify on;
# --- Cabeçalhos de Segurança e SEO ---
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:; object-src 'none'; frame-ancestors 'self';" always;
# --- Configurações de Compressão Brotli & Gzip ---
brotli on;
brotli_comp_level 6;
brotli_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml;
gzip on;
gzip_vary on;
gzip_min_length 1024;
gzip_proxied expired no-cache no-store private auth;
gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml;
gzip_disable "MSIE [1-6]\.";
# --- Parâmetros de Proxy Globais ---
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# --- Estratégia de Cache (IMPORTANTE) ---
# Lembre-se de adicionar a linha 'proxy_cache_path' correspondente em nginx.conf!
proxy_cache ferreirareal_cache; # Nome de cache exclusivo para este site.
proxy_cache_revalidate on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
add_header X-Proxy-Cache $upstream_cache_status; # Mostra se o cache foi HIT, MISS, etc.
# --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
# 1. Localização para o formulário (SEM CACHE)
location = /Contatos.html {
proxy_no_cache 1; # Não sirva do cache
proxy_cache_bypass 1; # Ignore o cache e vá direto para o backend
proxy_pass http://ferreirareal_backend;
}
# 2. Localização para assets estáticos (CACHE AGRESSIVO)
location ~* \.(jpg|jpeg|gif|png|webp|svg|css|js|ico|woff2?|ttf|json)$ {
expires 1y; # Cache de navegador por 1 ano
add_header Cache-Control "public, immutable";
proxy_cache_valid 200 30d; # Cache de Nginx por 30 dias
proxy_pass http://ferreirareal_backend;
access_log off; # Opcional: desliga o log para assets
}
# 3. Localização para páginas HTML (CACHE CURTO)
location / {
expires 15m; # Cache de navegador por 15 minutos
proxy_cache_valid 200 15m;
proxy_pass http://ferreirareal_backend;
}
ssl_certificate /etc/letsencrypt/live/www.ferreirareal.com.br/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.ferreirareal.com.br/privkey.pem; # managed by Certbot
}