From 9a855a5e12513413281bf7a4b615ebb4265d2444 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?Jo=C3=A3o=20Pedro=20Toledo?= <joao.goncalves@itguys.com.br>
Date: Thu, 29 Jan 2026 08:45:22 -0300
Subject: [PATCH] site-ferreira-real update

---
 .gemini/GEMINI.md               | 135 +++++++++++++++++++++++++++
 conf.d/ferreirareal.com.br.conf | 158 ++++++++++++++++++++++++++++++++
 2 files changed, 293 insertions(+)
 create mode 100644 .gemini/GEMINI.md
 create mode 100644 conf.d/ferreirareal.com.br.conf

diff --git a/.gemini/GEMINI.md b/.gemini/GEMINI.md
new file mode 100644
index 0000000..9400795
--- /dev/null
+++ b/.gemini/GEMINI.md
@@ -0,0 +1,135 @@
+# NGINX Pathfinder Proxy - Documentação Técnica
+
+## Visão Geral
+
+Projeto de infraestrutura para Proxy Reverso de Alta Disponibilidade, utilizando Containers Docker para modularidade e fácil manutenção.
+
+## Arquitetura de Containers
+
+O projeto roda sobre 3 serviços orquestrados via `docker-compose.yml`:
+
+| Serviço | Imagem | Porta Exposta | Função |
+|---------|--------|---------------|--------|
+| **modsecurity** | `owasp/modsecurity-crs:nginx-alpine` | `80`, `443` | **Frontend (WAF)**. Recebe todo o tráfego da internet, filtra ataques (SQLi, XSS) e encaminha requisições limpas para o Proxy. |
+| **nginx-proxy** | `alpine` (Custom Build) | `8080` (Interna) | **Backend Proxy**. Gerencia vhosts, terminação SSL, cache, compressão Brotli e roteamento para as aplicações finais. |
+| **fail2ban** | `crazymax/fail2ban` | - | **Watchdog**. Lê logs compartilhados dos dois containers acima e bane IPs maliciosos diretamente no host (via iptables). |
+
+---
+
+## Automação SSL
+
+O sistema possui um mecanismo de **auto-cura** para certificados SSL.
+
+### Componentes
+1. **Certbot**: Instalado dentro do container `nginx-proxy`.
+2. **Volumes**:
+   - `ssl/`: Onde ficam os arquivos `.crt` e `.key` usados pelo NGINX.
+   - `certbot/`: Onde o Certbot guarda os arquivos originais do Let's Encrypt.
+3. **Scripts**:
+   - `scripts/inject_acme.sh`: Varre todos os arquivos em `conf.d/` e injeta o snippet de validação ACME (`.well-known`) se não existir.
+   - `scripts/renew_ssl.sh`: 
+     1. Verifica a data de expiração de cada certificado ativo.
+     2. Se faltar **3 dias ou menos**, dispara `certbot renew`.
+     3. Copia os novos arquivos gerados para a pasta `ssl/`.
+     4. Recarrega o NGINX.
+
+### Agendamento
+- **Cron**: Configurado no `pre-flight.sh` para rodar todos os dias às **01:00 AM**.
+- **Startup**: A verificação também roda a cada reinício do container.
+
+---
+
+## Estrutura de Arquivos
+
+```
+.
+├── conf.d/              # Configurações de sites (VHosts)
+├── snippets/            # Trechos reutilizáveis
+│   ├── acme_challenge.conf # Snippet para validação Let's Encrypt
+│   ├── internal_networks.conf # IPs permitidos (VPN/Local)
+│   └── ...
+├── scripts/             # Scripts de automação
+│   ├── pre-flight.sh    # Entrypoint (DNS Check + Cron Setup)
+│   ├── inject_acme.sh   # Injetor de config ACME
+│   └── renew_ssl.sh     # Lógica de renovação
+├── ssl/                 # Certificados em uso
+├── fail2ban/            # Configs do Fail2ban
+│   ├── jail.d/          # Definição das prisões
+│   └── filter.d/        # Regex de detecção
+├── .gemini/             # Documentação do projeto
+└── docker-compose.yml   # Orquestração
+```
+
+---
+
+## Módulos Especiais
+
+### 1. Brotli & Headers More
+O container `nginx-proxy` é construído manualmente (`Dockerfile`) para incluir módulos que não vêm por padrão no Alpine:
+- `nginx-mod-http-brotli`
+- `nginx-mod-http-headers-more`
+
+### 2. ModSecurity (WAF)
+Rodar o WAF em container separado (`modsecurity`) evita a necessidade de compilar o ModSecurity no NGINX principal.
+
+**Arquitetura Customizada:**
+- **Injeção de Template**: Um arquivo `modsec.conf.template` local é montado durante o boot para contornar limitações de permissão do container oficial. Ele instrui o NGINX a carregar regras customizadas.
+- **Regras Modulares**: Localizadas em `modsec_rules/`, divididas por aplicação (`gitea-rule-exceptions.conf`, `nextcloud...`).
+- **Global**: `global-exceptions.conf` define apenas a whitelist de rede.
+- **Bypass de Emergência**: Se o WAF falhar, altere as portas no `docker-compose.yml` para expor o `nginx-proxy` diretamente.
+
+---
+
+## Fluxo de Deploy Atualizado
+
+```mermaid
+graph TD
+    Start[Deploy] --> DetectIP[Detectar IP Público]
+    DetectIP --> Build[Docker Build (NGINX + Certbot)]
+    Build --> Up[Docker Compose Up]
+    Up --> PreFlight[Pre-Flight Script]
+    
+    PreFlight --> DNSCheck[Validar DNS dos Domínios]
+    DNSCheck --> CronSetup[Configurar Cron Job]
+    CronSetup --> SSLCheck[Verificar Validade SSL]
+    
+    SSLCheck -- Vence > 3 dias --> StartNginx[Iniciar NGINX]
+    SSLCheck -- Vence <= 3 dias --> Renew[Rodar renew_ssl.sh]
+    Renew --> StartNginx
+```
+
+---
+
+## Comandos Operacionais
+
+**Verificar status dos serviços:**
+```bash
+docker compose ps
+```
+
+**Verificar validade dos SSL (Log):**
+```bash
+docker compose logs nginx-proxy | grep "SSL"
+```
+
+**Forçar renovação SSL manualmente:**
+```bash
+docker compose exec nginx-proxy /scripts/renew_ssl.sh
+```
+
+**Reload Zero-Downtime (Blue-Green Logic):**
+Este comando valida a configuração e executa um reload gracioso (`nginx -s reload`), onde novos workers assumem as novas configurações enquanto os antigos terminam as requisições correntes.
+```bash
+./scripts/reload.sh   # Linux
+./scripts/reload.ps1  # Windows PowerShell
+```
+
+**Banir um IP manualmente:**
+```bash
+docker compose exec fail2ban fail2ban-client set nginx-badbots banip 1.2.3.4
+```
+
+**Adicionar novo site:**
+1. Criar `conf.d/novo-site.conf`
+2. `docker compose restart nginx-proxy`
+3. O script de startup irá validar o DNS e injetar o suporte ACME automaticamente.
diff --git a/conf.d/ferreirareal.com.br.conf b/conf.d/ferreirareal.com.br.conf
new file mode 100644
index 0000000..6081989
--- /dev/null
+++ b/conf.d/ferreirareal.com.br.conf
@@ -0,0 +1,158 @@
+# ==============================================================================
+# ARQUIVO: /etc/nginx/sites-available/ferreirareal.com.br.conf
+# DESCRIÇÃO:
+# Configuração de Proxy Reverso OTIMIZADA para o site ferreirareal.com.br.
+# Força HTTPS, redireciona www para não-www e inclui melhores práticas de
+# segurança, cache e SEO.
+# ==============================================================================
+
+# Define o servidor de backend para o site.
+upstream ferreirareal_backend {
+    server 172.112.1.2:8081;
+}
+
+# ==============================================================================
+# BLOCO 1: Redirecionamento de HTTP (porta 80) para HTTPS (não-www)
+# ==============================================================================
+server {
+    if ($host = www.ferreirareal.com.br) {
+        return 301 https://$host$request_uri;
+    } # managed by Certbot
+
+
+    if ($host = ferreirareal.com.br) {
+        return 301 https://$host$request_uri;
+    } # managed by Certbot
+
+
+    listen 80;
+    server_name ferreirareal.com.br www.ferreirareal.com.br;
+
+    # Permite a renovação de certificado Let's Encrypt.
+    location /.well-known/acme-challenge/ {
+        root /var/www/html; # Ajuste este caminho se necessário.
+    }
+
+    # Redireciona todo o resto para a versão segura e canônica.
+    location / {
+        return 301 https://ferreirareal.com.br$request_uri;
+    }
+
+
+
+
+}
+
+# ==============================================================================
+# BLOCO 2: Redirecionamento de HTTPS com WWW para a versão sem WWW
+# ==============================================================================
+server {
+    listen 443 ssl http2;
+    server_name www.ferreirareal.com.br;
+
+    # --- IMPORTANTE: Substitua pelos caminhos dos seus certificados ---
+    #ssl_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
+    #ssl_certificate_key /etc/letsencrypt/live/ferreirareal.com.br/privkey.pem;
+    #ssl_trusted_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
+
+    # Apenas redireciona, não precisa de mais nada aqui.
+    return 301 https://ferreirareal.com.br$request_uri;
+
+    ssl_certificate /etc/letsencrypt/live/www.ferreirareal.com.br/fullchain.pem; # managed by Certbot
+    ssl_certificate_key /etc/letsencrypt/live/www.ferreirareal.com.br/privkey.pem; # managed by Certbot
+}
+
+# ==============================================================================
+# BLOCO 3: Servidor Principal - Proxy Reverso (HTTPS, não-www)
+# ==============================================================================
+server {
+    listen 443 ssl http2;
+    server_name ferreirareal.com.br;
+
+    # --- Logs ---
+    access_log /var/log/nginx/ferreirareal.com.br.access.log detailed_proxy;
+    access_log /var/log/nginx/ferreirareal.com.br.bad-bot.log suspicious_bot if=$block_request;
+    error_log /var/log/nginx/ferreirareal.com.br.error.log warn;
+
+    # --- Segurança (Integração com nginx.conf) ---
+    if ($block_request) {
+        return 404; # Bloqueia bots e scanners conhecidos
+    }
+    limit_req zone=global_limit burst=20 nodelay; # Limite de requisições geral
+    limit_req zone=bad_bot_limit; # Limite mais estrito para bots
+
+    # --- Configurações de SSL/TLS Otimizadas ---
+    # IMPORTANTE: Garanta que os caminhos abaixo estão corretos.
+    #ssl_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
+    #ssl_certificate_key /etc/letsencrypt/live/ferreirareal.com.br/privkey.pem;
+    #ssl_trusted_certificate /etc/letsencrypt/live/ferreirareal.com.br/fullchain.pem;
+    
+    ssl_session_timeout 1d;
+    ssl_session_cache shared:SSL:60m;
+    ssl_session_tickets off;
+    ssl_protocols TLSv1.2 TLSv1.3;
+    ssl_prefer_server_ciphers off;
+    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
+    ssl_stapling on;
+    ssl_stapling_verify on;
+
+    # --- Cabeçalhos de Segurança e SEO ---
+    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
+    add_header X-Frame-Options "SAMEORIGIN" always;
+    add_header X-Content-Type-Options "nosniff" always;
+    add_header Referrer-Policy "no-referrer-when-downgrade" always;
+    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self' data:; object-src 'none'; frame-ancestors 'self';" always;
+
+    # --- Configurações de Compressão Brotli & Gzip ---
+    brotli on;
+    brotli_comp_level 6;
+    brotli_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml;
+    gzip on;
+    gzip_vary on;
+    gzip_min_length 1024;
+    gzip_proxied expired no-cache no-store private auth;
+    gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript image/svg+xml;
+    gzip_disable "MSIE [1-6]\.";
+
+    # --- Parâmetros de Proxy Globais ---
+    proxy_set_header Host $http_host;
+    proxy_set_header X-Real-IP $remote_addr;
+    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+    proxy_set_header X-Forwarded-Proto $scheme;
+
+    # --- Estratégia de Cache (IMPORTANTE) ---
+    # Lembre-se de adicionar a linha 'proxy_cache_path' correspondente em nginx.conf!
+    proxy_cache ferreirareal_cache; # Nome de cache exclusivo para este site.
+    proxy_cache_revalidate on;
+    proxy_cache_lock on;
+    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
+    add_header X-Proxy-Cache $upstream_cache_status; # Mostra se o cache foi HIT, MISS, etc.
+
+    # --- REGRAS DE ROTEAMENTO (LOCATIONS) ---
+
+    # 1. Localização para o formulário (SEM CACHE)
+    location = /Contatos.html {
+        proxy_no_cache 1;       # Não sirva do cache
+        proxy_cache_bypass 1;   # Ignore o cache e vá direto para o backend
+        proxy_pass http://ferreirareal_backend;
+    }
+
+    # 2. Localização para assets estáticos (CACHE AGRESSIVO)
+    location ~* \.(jpg|jpeg|gif|png|webp|svg|css|js|ico|woff2?|ttf|json)$ {
+        expires 1y; # Cache de navegador por 1 ano
+        add_header Cache-Control "public, immutable";
+        proxy_cache_valid 200 30d; # Cache de Nginx por 30 dias
+        proxy_pass http://ferreirareal_backend;
+        access_log off; # Opcional: desliga o log para assets
+    }
+
+    # 3. Localização para páginas HTML (CACHE CURTO)
+    location / {
+        expires 15m; # Cache de navegador por 15 minutos
+        proxy_cache_valid 200 15m;
+        proxy_pass http://ferreirareal_backend;
+    }
+
+    ssl_certificate /etc/letsencrypt/live/www.ferreirareal.com.br/fullchain.pem; # managed by Certbot
+    ssl_certificate_key /etc/letsencrypt/live/www.ferreirareal.com.br/privkey.pem; # managed by Certbot
+}