feat(rede): Implementa conectividade com redes Docker internas e IPs externos

## Tarefa 4 - Conexão Direta na Interface do Host

### Alterações no Docker Compose
- Adicionado host.docker.internal:host-gateway no modsecurity e nginx-proxy
- Permite acesso à rede física do host para alcançar IPs externos (10.10.253.x)
- Adicionados mapeamentos extras para server-254 e gitea-server

### Novos Arquivos
- snippets/docker_resolver.conf: Resolver DNS Docker para containers dinâmicos
- conf.d/test-connectivity.conf: Endpoints temporários para validar conectividade
  (REMOVER após testes no host de deploy)

### Documentação
- README.md: Diagrama de arquitetura atualizado com cores mais legíveis
- README.md: Adicionada tabela de sistemas/servidores (Docker/VM/LXC)
- TODO.md: Status da tarefa 4 atualizado para 'Aguardando Teste'

### Próximos Passos (no host de deploy)
1. docker compose build --no-cache nginx-proxy
2. docker compose down && docker compose up -d
3. Testar ping para 10.10.253.254 e 10.10.253.128
4. Remover test-connectivity.conf após validação

.dockerignore

@@ -0,0 +1,48 @@
+# Documentation and config folders
+.gemini/
+.git/
+.github/
+.vscode/
+.idea/
+
+# Legacy files (not needed in container)
+legacy/
+
+# Logs and debug files
+*.log
+debug_logs*.txt
+nginx_test*.log
+
+# Environment files
+.env
+.env.local
+
+# Git files
+.gitignore
+.gitattributes
+
+# Documentation
+README.md
+*.md
+!nginx.conf
+
+# Docker files (avoid recursive includes)
+docker-compose*.yml
+Dockerfile*
+
+# Temporary and backup files
+*.tmp
+*.bak
+*.swp
+*.swo
+*~
+
+# OS files
+.DS_Store
+Thumbs.db
+
+# SSL private keys (should be mounted as volume, not baked in)
+ssl/*.key
+
+# Disabled configs
+*.disabled

.gemini/GEMINI.md

@@ -0,0 +1,135 @@
+# NGINX Pathfinder Proxy - Documentação Técnica
+
+## Visão Geral
+
+Projeto de infraestrutura para Proxy Reverso de Alta Disponibilidade, utilizando Containers Docker para modularidade e fácil manutenção.
+
+## Arquitetura de Containers
+
+O projeto roda sobre 3 serviços orquestrados via `docker-compose.yml`:
+
+| Serviço | Imagem | Porta Exposta | Função |
+|---------|--------|---------------|--------|
+| **modsecurity** | `owasp/modsecurity-crs:nginx-alpine` | `80`, `443` | **Frontend (WAF)**. Recebe todo o tráfego da internet, filtra ataques (SQLi, XSS) e encaminha requisições limpas para o Proxy. |
+| **nginx-proxy** | `alpine` (Custom Build) | `8080` (Interna) | **Backend Proxy**. Gerencia vhosts, terminação SSL, cache, compressão Brotli e roteamento para as aplicações finais. |
+| **fail2ban** | `crazymax/fail2ban` | - | **Watchdog**. Lê logs compartilhados dos dois containers acima e bane IPs maliciosos diretamente no host (via iptables). |
+
+---
+
+## Automação SSL
+
+O sistema possui um mecanismo de **auto-cura** para certificados SSL.
+
+### Componentes
+1. **Certbot**: Instalado dentro do container `nginx-proxy`.
+2. **Volumes**:
+   - `ssl/`: Onde ficam os arquivos `.crt` e `.key` usados pelo NGINX.
+   - `certbot/`: Onde o Certbot guarda os arquivos originais do Let's Encrypt.
+3. **Scripts**:
+   - `scripts/inject_acme.sh`: Varre todos os arquivos em `conf.d/` e injeta o snippet de validação ACME (`.well-known`) se não existir.
+   - `scripts/renew_ssl.sh`: 
+     1. Verifica a data de expiração de cada certificado ativo.
+     2. Se faltar **3 dias ou menos**, dispara `certbot renew`.
+     3. Copia os novos arquivos gerados para a pasta `ssl/`.
+     4. Recarrega o NGINX.
+
+### Agendamento
+- **Cron**: Configurado no `pre-flight.sh` para rodar todos os dias às **01:00 AM**.
+- **Startup**: A verificação também roda a cada reinício do container.
+
+---
+
+## Estrutura de Arquivos
+
+```
+.
+├── conf.d/              # Configurações de sites (VHosts)
+├── snippets/            # Trechos reutilizáveis
+│   ├── acme_challenge.conf # Snippet para validação Let's Encrypt
+│   ├── internal_networks.conf # IPs permitidos (VPN/Local)
+│   └── ...
+├── scripts/             # Scripts de automação
+│   ├── pre-flight.sh    # Entrypoint (DNS Check + Cron Setup)
+│   ├── inject_acme.sh   # Injetor de config ACME
+│   └── renew_ssl.sh     # Lógica de renovação
+├── ssl/                 # Certificados em uso
+├── fail2ban/            # Configs do Fail2ban
+│   ├── jail.d/          # Definição das prisões
+│   └── filter.d/        # Regex de detecção
+├── .gemini/             # Documentação do projeto
+└── docker-compose.yml   # Orquestração
+```
+
+---
+
+## Módulos Especiais
+
+### 1. Brotli & Headers More
+O container `nginx-proxy` é construído manualmente (`Dockerfile`) para incluir módulos que não vêm por padrão no Alpine:
+- `nginx-mod-http-brotli`
+- `nginx-mod-http-headers-more`
+
+### 2. ModSecurity (WAF)
+Rodar o WAF em container separado (`modsecurity`) evita a necessidade de compilar o ModSecurity no NGINX principal.
+
+**Arquitetura Customizada:**
+- **Injeção de Template**: Um arquivo `modsec.conf.template` local é montado durante o boot para contornar limitações de permissão do container oficial. Ele instrui o NGINX a carregar regras customizadas.
+- **Regras Modulares**: Localizadas em `modsec_rules/`, divididas por aplicação (`gitea-rule-exceptions.conf`, `nextcloud...`).
+- **Global**: `global-exceptions.conf` define apenas a whitelist de rede.
+- **Bypass de Emergência**: Se o WAF falhar, altere as portas no `docker-compose.yml` para expor o `nginx-proxy` diretamente.
+
+---
+
+## Fluxo de Deploy Atualizado
+
+```mermaid
+graph TD
+    Start[Deploy] --> DetectIP[Detectar IP Público]
+    DetectIP --> Build[Docker Build (NGINX + Certbot)]
+    Build --> Up[Docker Compose Up]
+    Up --> PreFlight[Pre-Flight Script]
+    
+    PreFlight --> DNSCheck[Validar DNS dos Domínios]
+    DNSCheck --> CronSetup[Configurar Cron Job]
+    CronSetup --> SSLCheck[Verificar Validade SSL]
+    
+    SSLCheck -- Vence > 3 dias --> StartNginx[Iniciar NGINX]
+    SSLCheck -- Vence <= 3 dias --> Renew[Rodar renew_ssl.sh]
+    Renew --> StartNginx
+```
+
+---
+
+## Comandos Operacionais
+
+**Verificar status dos serviços:**
+```bash
+docker compose ps
+```
+
+**Verificar validade dos SSL (Log):**
+```bash
+docker compose logs nginx-proxy | grep "SSL"
+```
+
+**Forçar renovação SSL manualmente:**
+```bash
+docker compose exec nginx-proxy /scripts/renew_ssl.sh
+```
+
+**Reload Zero-Downtime (Blue-Green Logic):**
+Este comando valida a configuração e executa um reload gracioso (`nginx -s reload`), onde novos workers assumem as novas configurações enquanto os antigos terminam as requisições correntes.
+```bash
+./scripts/reload.sh   # Linux
+./scripts/reload.ps1  # Windows PowerShell
+```
+
+**Banir um IP manualmente:**
+```bash
+docker compose exec fail2ban fail2ban-client set nginx-badbots banip 1.2.3.4
+```
+
+**Adicionar novo site:**
+1. Criar `conf.d/novo-site.conf`
+2. `docker compose restart nginx-proxy`
+3. O script de startup irá validar o DNS e injetar o suporte ACME automaticamente.

.gemini/TODO.md

@@ -0,0 +1,40 @@
+# Tarefas Pendentes e Melhorias Futuras
+
+## 1. Gestão Dinâmica de DNS
+**Origem:** Migração de `legacy/hosts`
+- **Problema:** O método atual usa `extra_hosts` no `docker-compose.yml`, que é estático e exige recriação do container para alterações.
+- **Objetivo:** Mudar o modo de registro e atualização de DNS para ser mais dinâmico ou simples.
+- **Ideias:** DNS containerizado (Bind/CoreDNS) ou Service Discovery.
+
+## 2. Revisão de Regras ModSecurity
+**Origem:** Migração de `legacy/nginx/modsecurity/*.conf` (Regras Antigas)
+- **Status:** ✅ Concluído.
+- **Resolução:** Regras refatoradas para estrutura modular (`modsec_rules/`). WAF ativo e configurado via template injection para Gitea, Nextcloud, Exchange, Zabbix e outros.
+- **Ação:** Monitorar logs (`modsec_audit.log`) para ajustes finos futuros.
+
+## 3. Atualizações Zero-Downtime (Sem Queda)
+**Objetivo:** Criar um método para atualizar configurações de sites sem que clientes externos percam a conexão.
+- **Status:** ✅ Concluído.
+- **Solução Implementada:** Script `./scripts/reload.sh` que executa `nginx -t` e `nginx -s reload` (Reload Suave/Process-Level Blue-Green).
+- **Como usar:** Execute `./scripts/reload.sh` após alterar qualquer `.conf`.
+
+## 4. Conexão Direta na Interface do Host
+**Objetivo:** Configurar o proxy para rotear tráfego tanto internamente (entre containers Docker) quanto externamente (para serviços fora do Docker).
+- **Status:** 🧪 Implementado - Aguardando Teste no Host
+- **Solução Implementada:**
+  - Adicionado `host.docker.internal:host-gateway` no `docker-compose.yml` para ambos containers
+  - Criado `snippets/docker_resolver.conf` para resolução DNS dinâmica de containers
+  - Criado `conf.d/test-connectivity.conf` (temporário) com endpoints de teste
+  - Atualizado diagrama de arquitetura no `README.md`
+- **Testes Necessários (no host de deploy):**
+  ```bash
+  # Rebuild e restart
+  docker compose build --no-cache nginx-proxy
+  docker compose down && docker compose up -d
+  
+  # Testar conectividade
+  docker compose exec nginx-proxy ping -c 2 10.10.253.254
+  docker compose exec nginx-proxy ping -c 2 10.10.253.128
+  ```
+- **Após Validação:** Deletar `conf.d/test-connectivity.conf` e marcar como ✅ Concluído.
+

.gitignore

@@ -0,0 +1,34 @@
+# Logs and debug files
+*.log
+debug_logs*.txt
+nginx_test*.log
+
+# Environment files
+.env
+.env.local
+
+# Docker
+docker-compose.override.yml
+
+# SSL certificates (sensitive - should be managed separately)
+ssl/*.key
+ssl/*.crt
+ssl/*.pem
+
+# Editor files
+.vscode/
+.idea/
+*.swp
+*.swo
+*~
+
+# OS files
+.DS_Store
+Thumbs.db
+
+# Temporary files
+*.tmp
+*.bak
+
+# Disabled configs
+*.disabled

Dockerfile

@@ -0,0 +1,18 @@
+FROM alpine:latest
+
+# Install NGINX and tools
+RUN apk add --no-cache nginx nginx-mod-http-brotli nginx-mod-http-headers-more bind-tools openssl curl certbot
+
+# Copy custom config
+COPY nginx.conf /etc/nginx/nginx.conf
+
+# Copy snippets
+COPY snippets/ /etc/nginx/snippets/
+
+# Copy scripts
+COPY scripts/ /scripts/
+RUN chmod +x /scripts/*.sh
+
+# Entrypoint
+ENTRYPOINT ["/scripts/pre-flight.sh"]
+CMD ["nginx", "-g", "daemon off;"]

README.md

@@ -1,61 +1,238 @@
-# Serviço de Sincronização de Configurações - Proxy-Sinc
+# NGINX Pathfinder Proxy
 
-Este repositório contém as configurações e os scripts de automação para o serviço `proxy-sinc`, desenhado para automatizar o controlo de versões de ficheiros de configuração de servidores Linux para um repositório Git (Gitea).
+Solução moderna de Proxy Reverso containerizado, construída com NGINX, ModSecurity WAF e automação de SSL.
 
-O objetivo é criar um sistema robusto, auto-documentado e fácil de gerir para o backup e o histórico de alterações de configurações críticas como as do Nginx e do Fail2ban.
+## 🚀 Funcionalidades
 
-## Funcionalidades Principais Implementadas pelo Instalador
+### 🛡️ Segurança em Primeiro Lugar
+- **ModSecurity WAF**: Conjunto de Regras OWASP (CRS) integrado rodando como proxy sidecar/frontend.
+- **Fail2ban**: Serviço "cão de guarda" que bane IPs com comportamento suspeito (bots ruins, excesso de erros 4xx/5xx).
+- **Mapas de Segurança**: Bloqueio automatizado de User-Agents maliciosos e restrições de rede interna.
 
-### Gestão de Dependências
+### ⚡ Performance
+- **HTTP/3 (QUIC)**: Habilitado para conexões modernas de baixa latência.
+- **Compressão Brotli**: Melhores taxas de compressão que o Gzip padrão.
+- **Headers More**: Manipulação avançada de cabeçalhos para respostas limpas.
 
-* Verifica e instala automaticamente as dependências necessárias (`git`, `rsync`) usando `apt`.
+### 🔒 SSL Automatizado
+- **Renovação Zero-Touch**: O Certbot integrado verifica a validade diariamente.
+- **Auto-Renovação**: Renova automaticamente certificados próximos do vencimento (<= 3 dias).
+- **Injeção Inteligente**: Injeta automaticamente os snippets de desafio ACME nas configurações dos sites.
 
-### Configuração Interativa e Segura
+---
 
-* Pede ao utilizador a URL do repositório, o nome de utilizador do Gitea e um Token de Acesso (que fica oculto durante a digitação) para a autenticação.
+## 🛠️ Como Trabalhar neste Repositório
 
-* A URL do repositório é reconfigurada para incluir as credenciais, permitindo que as operações `git` futuras (como o `git push`) sejam executadas de forma não-interativa.
+### Pré-requisitos
+- Docker & Docker Compose instalados
+- Acesso à internet (para baixar imagens e validar SSL)
 
-### Identidade de Commit Automática
+### 1. Implantar o Servidor (Deploy)
+Para iniciar toda a infraestrutura:
+```bash
+./deploy.sh
+```
+*Este script detecta seu IP público, configura o ambiente e sobe os containers.*
 
-* O nome do autor dos commits é automaticamente definido como o hostname completo do servidor (ex: `srvproxy001.itguys.com.br`).
+### 2. Adicionar um Novo Site
+Todas as configurações de sites ficam na pasta `conf.d/`.
 
-* O email do autor é gerado automaticamente a partir do hostname (ex: `srvproxy001@itguys.com.br`).
+1. **Crie o arquivo de configuração**:
+   Crie um arquivo `.conf` em `conf.d/` (ex: `meusite.com.br.conf`). Use um dos arquivos existentes como modelo.
    
-### Gestão Inteligente de SSL
+   **Modelo Básico (com SSL):**
+   ```nginx
+   # Backend (para onde vai o tráfego)
+   upstream meu_backend {
+       server 192.168.1.10:8080;
+   }
 
-* O script testa automaticamente a conexão com o Gitea. Se detetar um problema de certificado SSL (comum em ambientes internos), ele configura o repositório local para ignorar a verificação SSL, garantindo que a sincronização funcione.
+   # Redirecionamento HTTP -> HTTPS
+   server {
+       listen 80;
+       server_name meusite.com.br;
+       include /etc/nginx/snippets/acme_challenge.conf; # Importante para SSL
+       return 301 https://$host$request_uri;
+   }
 
-### Registo de Deploy
+   # Bloco HTTPS
+   server {
+       listen 443 ssl;
+       http2 on;
+       server_name meusite.com.br;
 
-* Na primeira instalação num novo servidor, o script cria um ficheiro de registo (`_deployment_logs/hostname.md`) no repositório, documentando quem (utilizador do Gitea) instalou o serviço e quando, criando uma trilha de auditoria.
+       ssl_certificate /etc/nginx/ssl/meusite.com.br.crt;
+       ssl_certificate_key /etc/nginx/ssl/meusite.com.br.key;
 
-### Instalação como Serviço `systemd`
+       include /etc/nginx/snippets/ssl_params.conf;
 
-* Gera e instala um serviço `systemd` (`proxy-sinc.service`) e um `timer` (`proxy-sinc.timer`).
+       location / {
+           proxy_pass http://meu_backend;
+           include /etc/nginx/includes/proxy_backend.conf;
+       }
+   }
+   ```
 
-* Esta abordagem é superior ao `cron` pois integra-se perfeitamente com o sistema de logs `journald`, permitindo uma gestão fácil com `systemctl status`, `start`, `stop`, etc.
+2. **Aplique as alterações**:
+   ```bash
+   docker compose restart nginx-proxy
+   ```
+   *No reinício, o script de pre-flight validará o DNS e injetará configurações de SSL necessárias.*
 
-* O timer está configurado para executar o script de sincronização **a cada minuto**.
+### 3. Modificar Configurações Globais
+As configurações globais são modularizadas na pasta `snippets/`.
 
-### Sincronização Dinâmica de Ficheiros
+- **Rate Limiting**: Edite `snippets/rate_limit.conf` para ajustar os limites de requisições por segundo.
+- **Bloqueio de Bots**: Edite `snippets/security_maps.conf` para adicionar novos User-Agents à lista negra.
+- **Cache**: Edite `snippets/cache_zones.conf` para definir novas zonas ou tempos de cache.
 
-* O script principal de sincronização (`commit_configs.sh`) agora lê os caminhos a serem versionados a partir de um ficheiro de configuração central (`/etc/proxy-sinc/paths.conf`).
+### 3.1. Modificar Regras do WAF (ModSecurity)
+O WAF agora utiliza uma estrutura modular de regras localizada na pasta `modsec_rules/`.
+- **Arquivos Específicos**: Regras para Gitea, Nextcloud, Exchange, Zabbix, etc. ficam em seus respectivos arquivos `.conf`.
+- **Global**: `global-exceptions.conf` contém apenas whitelists de rede interna.
+- **Aplicação**: Após editar qualquer regra, reinicie o container do WAF para aplicar:
+  ```bash
+  docker compose restart modsecurity
+  ```
+> **Nota Técnica**: O arquivo `modsec.conf.template` na raiz é injetado no container durante o boot para contornar problemas de permissão e garantir o carregamento das regras customizadas.
 
-* Isto permite que os administradores adicionem ou removam ficheiros e pastas para sincronização no futuro, simplesmente editando este ficheiro de texto, sem precisar de alterar o script.
+### 4. Gerenciar Certificados SSL
+O sistema gerencia isso automaticamente, mas você pode intervir manualmente se necessário.
 
-### Auto-Versionamento
+- **Verificar Validade**:
+  Verifique os logs do startup para ver o status de todos os domínios:
+  ```bash
+  docker compose logs nginx-proxy | grep "SSL"
+  ```
 
-* O script `commit_configs.sh` foi desenhado para se incluir a si mesmo e a todos os seus ficheiros de configuração e de serviço (`.service`, `.timer`, `man page`, `paths.conf`) no repositório Git. Desta forma, qualquer alteração na própria automação também é versionada.
+- **Forçar Renovação**:
+  Se precisar renovar um certificado imediatamente:
+  ```bash
+  docker compose exec nginx-proxy /scripts/renew_ssl.sh
+  ```
 
-### Funcionalidade de Auto-Atualização
+- **Reload sem Downtime (Recomendado)**:
+  Para aplicar alterações de configuração (vhosts, SSL) sem derrubar conexões ativas:
+  ```bash
+  ./scripts/reload.sh
+  ```
 
-* Instala um novo comando no sistema, `proxy-sinc-update`.
+### 5. Monitorar e Debugar
 
-* Quando executado, este comando baixa a versão mais recente do `setup.sh` a partir de uma URL pré-definida no repositório Gitea e executa-a, permitindo uma atualização fácil e centralizada de toda a automação.
+- **Verificar Status dos Containers**:
+  ```bash
+  docker compose ps
+  ```
 
-### Documentação Integrada (`man page`)
+- **Ver Logs em Tempo Real**:
+  ```bash
+  docker compose logs -f
+  ```
 
-* Gera e instala uma página de manual (`man proxy-sinc`) no sistema.
+- **Verificar se o WAF (ModSecurity) bloqueou algo**:
+  ```bash
+  docker compose logs modsecurity | grep "Access denied"
+  ```
 
-* O manual explica o que o serviço faz, como o gerir, como o atualizar e, o mais importante, como adicionar novos caminhos de ficheiros para serem sincronizados, tornando a ferramenta fácil de usar para qualquer membro da equipa no futuro.
+- **Verificar Banimentos do Fail2ban**:
+  ```bash
+  docker compose exec fail2ban fail2ban-client status nginx-badbots
+  ```
+
+---
+
+## 🏗️ Visão Geral da Stack
+
+```mermaid
+graph TD
+    subgraph Internet
+        Client[Cliente Externo]
+    end
+
+    subgraph Host["Host Docker (Portainer)"]
+        subgraph PathfinderStack["Stack: Pathfinder-Proxy<br/>Rede: 172.112.0.0/16"]
+            WAF["ModSecurity WAF<br/>172.112.0.3<br/>:80, :443"]
+            NGINX["nginx-proxy<br/>172.112.0.2<br/>:8080 interno"]
+            F2B["fail2ban<br/>network: host"]
+        end
+        
+        subgraph HostNetwork["Rede Física do Host"]
+            HostIP["host.docker.internal<br/>(gateway)"]
+        end
+        
+        subgraph OtherStacks["Outras Stacks Docker"]
+            Container1["Container A<br/>172.111.0.x"]
+            Container2["Container B<br/>172.113.0.x"]
+        end
+    end
+
+    subgraph ExternalServers["Servidores Externos"]
+        Server254["10.10.253.254"]
+        Server128["10.10.253.128<br/>Gitea"]
+    end
+
+    Client -->|":80/:443"| WAF
+    WAF -->|"proxy_pass :8080"| NGINX
+    F2B -.->|"lê logs"| WAF
+    F2B -.->|"lê logs"| NGINX
+    
+    NGINX -->|"extra_hosts<br/>host-gateway"| HostIP
+    NGINX -.->|"bridge network"| Container1
+    NGINX -.->|"bridge network"| Container2
+    HostIP -->|"roteamento"| Server254
+    HostIP -->|"roteamento"| Server128
+
+    style WAF fill:#e74c3c,stroke:#c0392b,color:#fff
+    style NGINX fill:#3498db,stroke:#2980b9,color:#fff
+    style F2B fill:#27ae60,stroke:#1e8449,color:#fff
+    style Server128 fill:#9b59b6,stroke:#8e44ad,color:#fff
+    style Server254 fill:#9b59b6,stroke:#8e44ad,color:#fff
+    style HostIP fill:#f39c12,stroke:#d68910,color:#fff
+    style Container1 fill:#1abc9c,stroke:#16a085,color:#fff
+    style Container2 fill:#1abc9c,stroke:#16a085,color:#fff
+```
+
+---
+
+## 📋 Sistemas e Servidores Configurados
+
+Lista de todos os sistemas roteados pelo proxy, organizados por tipo de infraestrutura.
+
+| Domínio | IP/Backend | Docker | VM | LXC | Descrição |
+|---------|------------|:------:|:--:|:---:|-----------|
+| `git.itguys.com.br` | 10.10.253.128 | ❌ | ❌ | ✅ | Gitea - Servidor Git |
+| `zammad.itguys.com.br` | 172.16.254.59 | ❌ | ❌ | ✅ | Zammad - Helpdesk |
+| `monitoramento.itguys.com.br` | 172.16.254.x | ❌ | ❌ | ✅ | Zabbix/Grafana |
+| `mimir.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Mimir - Métricas |
+| `windmill.grupopralog.com.br` | 172.16.253.103:8000 | ❌ | ❌ | ✅ | Windmill - Automação |
+| `katalog.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Katalog |
+| `verbocloud.itguys.com.br` | 172.16.253.13:11580 | ❌ | ❌ | ✅ | Nextcloud AIO |
+| `cloud.grupopralog.com.br` | 172.16.253.12 | ❌ | ❌ | ✅ | Nextcloud Pralog |
+| `srvoffice001.itguys.com.br` | 172.16.253.101 | ❌ | ✅ | ❌ | Exchange Server |
+| `business.itguys.com.br` | 172.16.121.13 | ❌ | ✅ | ❌ | Exchange OWA |
+| `vcenter.itguys.com.br` | 172.16.254.110:443 | ❌ | ✅ | ❌ | VMware vCenter |
+| `unifi.itguys.com.br` | 172.16.254.123:8443 | ❌ | ✅ | ❌ | UniFi Controller |
+| `workspace.itguys.com.br` | 172.16.121.2 | ❌ | ✅ | ❌ | Workspace Windows |
+| `vscode.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | VS Code Server |
+| `telefonia.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Central Telefônica |
+| `proxy.itguys.com.br` | localhost | ✅ | ❌ | ❌ | Este proxy |
+| `itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Principal |
+| `pralog.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Pralog |
+| `anatram.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Anatram |
+| `ferreirareal.com.br` | 172.16.x.x | ✅ | ❌ | ❌ | Site Ferreira Real |
+| `petytransportes.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Pety Transportes |
+| `solucionei.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Solucionei |
+| `rhema.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Rhema |
+| `integra.grupopralog.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Integração Pralog |
+| `ns1.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Primário |
+| `ns2.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Secundário |
+| `dns-primario.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Admin |
+
+> [!NOTE]
+> **Legenda:** Docker = Container Docker | VM = Máquina Virtual (VMware/Hyper-V) | LXC = Linux Container (Proxmox)
+> 
+> IPs marcados como `172.16.x.x` precisam ser verificados nos arquivos de configuração individuais.
+
+---
+
+*Mantido por IT Guys*

_automation_scripts/etc/proxy-sinc/paths.conf

@@ -1,12 +0,0 @@
-# Adicione aqui os caminhos completos para os ficheiros e diretórios que deseja versionar, um por linha.
-# Linhas que começam com '#' são ignoradas.
-/etc/nginx
-/etc/fail2ban
-/etc/resolv.conf
-/etc/nsswitch.conf
-/etc/hosts
-/etc/ufw
-/etc/zabbix
-/etc/sudoers.d
-/etc/tmpfiles.d
-/etc/ssl

_automation_scripts/etc/systemd/system/proxy-sinc.service

@@ -1,6 +0,0 @@
-[Unit]
-Description=Serviço de Sincronização de Configurações do Nginx para o Git
-After=network.target
-[Service]
-Type=oneshot
-ExecStart=/usr/local/sbin/commit_configs.sh

_automation_scripts/etc/systemd/system/proxy-sinc.timer

@@ -1,8 +0,0 @@
-[Unit]
-Description=Executa o serviço de sincronização de configurações a cada minuto
-[Timer]
-OnBootSec=1min
-OnUnitActiveSec=1min
-Unit=proxy-sinc.service
-[Install]
-WantedBy=timers.target

_automation_scripts/usr/local/sbin/commit_configs.sh

@@ -1,60 +0,0 @@
-#!/bin/bash
-set -e
-
-REPO_PATH="/opt/config_repo"
-CONFIG_DIR="/etc/proxy-sinc"
-PATHS_FILE="${CONFIG_DIR}/paths.conf"
-AUTOMATION_FILES_SOURCE=("/usr/local/sbin/commit_configs.sh" "/usr/local/sbin/proxy-sinc-update" "/etc/systemd/system/proxy-sinc.service" "/etc/systemd/system/proxy-sinc.timer" "/usr/share/man/man8/proxy-sinc.8.gz" "${PATHS_FILE}")
-AUTOMATION_FILES_DEST="$REPO_PATH/_automation_scripts/"
-
-log_info() { echo "[INFO] $1"; }
-
-log_info "--- Iniciando a verificação de sincronização [$(date)] ---"
-if [ "$EUID" -ne 0 ]; then echo "[ERRO] O script deve ser executado como root." >&2; exit 1; fi
-if [ ! -d "$REPO_PATH/.git" ]; then echo "[ERRO] O diretório do repositório $REPO_PATH não é um repositório Git válido." >&2; exit 1; fi
-
-log_info "Sincronizando ficheiros de configuração definidos em $PATHS_FILE..."
-if [ ! -f "$PATHS_FILE" ]; then
-    echo "[AVISO] O ficheiro de caminhos $PATHS_FILE não foi encontrado. Nenhum ficheiro de configuração foi sincronizado."
-else
-    while IFS= read -r path_to_sync || [ -n "$path_to_sync" ]; do
-        if [ -z "$path_to_sync" ] || [[ "$path_to_sync" =~ ^# ]]; then
-            continue
-        fi
-
-        if [ -e "$path_to_sync" ]; then
-            # Copia para a raiz do repositório
-            rsync -avz --delete --exclude='*.swp' --exclude='*.bak' --exclude='sites-enabled/' --exclude='modules-enabled/' --exclude='/var/log/' --exclude='/var/run/' --exclude='/var/cache/' "$path_to_sync" "$REPO_PATH/"
-        else
-            echo "[AVISO] O caminho '$path_to_sync' definido em $PATHS_FILE não existe. A ignorar."
-        fi
-    done < "$PATHS_FILE"
-fi
-
-log_info "Sincronizando ficheiros de automação..."
-mkdir -p "$AUTOMATION_FILES_DEST"
-for file in "${AUTOMATION_FILES_SOURCE[@]}"; do
-    if [ -f "$file" ]; then
-        rsync -aR "$file" "$AUTOMATION_FILES_DEST"
-    fi
-done
-
-cd "$REPO_PATH"
-log_info "A verificar o status do repositório Git..."
-if [ -n "$(git status --porcelain)" ]; then
-    log_info "Alterações detetadas. A preparar o commit."
-    log_info "A puxar alterações do repositório remoto para evitar conflitos..."
-    git pull --ff-only
-    log_info "A adicionar alterações ao stage..."
-    git add .
-    COMMIT_MESSAGE="[Auto-Sync] Atualização das configurações em $(hostname -f) - $(date +'%Y-%m-%d %H:%M:%S')"
-    log_info "A fazer o commit com a mensagem: $COMMIT_MESSAGE"
-    git commit -m "$COMMIT_MESSAGE"
-    log_info "A enviar as alterações para o Gitea (git push)..."
-    git push origin main
-    echo "[SUCESSO] As alterações foram enviadas para o repositório remoto!"
-else
-    log_info "Nenhuma alteração de configuração detetada. O repositório está atualizado."
-fi
-log_info "--- Verificação de sincronização concluída [$(date)] ---"
-exit 0

_automation_scripts/usr/local/sbin/proxy-sinc-update

@@ -1,27 +0,0 @@
-#!/bin/bash
-set -e
-echo "A procurar por atualizações para o serviço Proxy-Sinc..."
-UPDATE_SCRIPT_URL="https://git.itguys.com.br/joao.goncalves/NgixProxy_Pathfinder/raw/branch/main/Instal-Proxy-Sinc.sh"
-TEMP_SCRIPT="/tmp/setup_latest.sh"
-
-echo "A baixar a versão mais recente do instalador de: $UPDATE_SCRIPT_URL"
-
-SSL_VERIFY_FLAG=""
-if [ -d "/opt/config_repo/.git" ]; then
-    if [ "$(cd /opt/config_repo && git config --get http.sslVerify)" == "false" ]; then
-        SSL_VERIFY_FLAG="--insecure"
-        echo "[AVISO] A usar o modo inseguro para baixar a atualização devido à configuração do repositório."
-    fi
-fi
-
-if curl $SSL_VERIFY_FLAG -L "$UPDATE_SCRIPT_URL" -o "$TEMP_SCRIPT"; then
-    chmod +x "$TEMP_SCRIPT"
-    echo "Instalador baixado com sucesso. A executar a atualização..."
-    sudo "$TEMP_SCRIPT"
-    rm "$TEMP_SCRIPT"
-    echo "Atualização concluída!"
-else
-    echo "ERRO: Falha ao baixar o script de atualização." >&2
-    exit 1
-fi
-exit 0

_deployment_logs/srvproxy001.itguys.com.br.md

@@ -1,30 +0,0 @@
-# Registo de Deploy do Proxy-Sinc
-
-**Servidor:** srvproxy001.itguys.com.br
-**Instalado por:** joao.goncalves
-**Data de Instalação:** ter 16 set 2025 19:03:23 -03
-
----
-**Tipo de Ação:** Instalação Manual Inicial
-**Executado por:** joao.goncalves@itguys.com.br
-**Data:** ter 16 set 2025 20:13:37 -03
-
----
-**Tipo de Ação:** Atualização Manual
-**Executado por:** joao.goncalves@itguys.com.br
-**Data:** ter 16 set 2025 20:16:56 -03
-
----
-**Tipo de Ação:** Atualização Manual
-**Executado por:** joao.goncalves@itguys.com.br
-**Data:** ter 16 set 2025 20:29:19 -03
-
----
-**Tipo de Ação:** Atualização Manual
-**Executado por:** joao.goncalves@itguys.com.br
-**Data:** ter 16 set 2025 20:35:37 -03
-
----
-**Tipo de Ação:** Atualização Manual
-**Executado por:** joao.goncalves@itguys.com.br
-**Data:** ter 16 set 2025 20:41:37 -03

certbot/conf/options-ssl-nginx.conf

@@ -0,0 +1,7 @@
+ssl_session_cache shared:le_nginx_SSL:1m;
+ssl_session_timeout 1440m;
+
+ssl_protocols TLSv1.2 TLSv1.3;
+ssl_prefer_server_ciphers off;
+
+ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";

certbot/conf/ssl-dhparams.pem

@@ -0,0 +1,8 @@
+-----BEGIN DH PARAMETERS-----
+MIIBDAKCAQEA7aEz2xmnoIbgtStbhLjO2kIgHb+mXbTBJi2aXSnMlih9Q2WWfEOY
+TrSw98BLop6l/6FS9XqCNAaB06AQLYIrXx1V3MtT1x9JcHfwbgKacDsEf+B+yYXS
+Avv8G6j6t4k0s7ovg9tVEpRr1n8YCDj1bWv1iiQjfotmzeex6NNE9rX31GvRpRhP
+jY+I9JDU0xG7GA16dNYYkq7kNPF7f1HmpFZOPiqox+IoMxZPlMZsKfRxmWpNPbgy
+Pmzbrf7i3Wj9gjjGbPSvJ5dnaz4XGqUxAXemAXhjQ9TLVEig2NNo8LeYp/1r22+H
+Wls/ddseH7N2lOr3M4oHsaUo4vsKG/SAfwIBAgICAOE=
+-----END DH PARAMETERS-----

conf.d/anatram.com.br.conf

@@ -15,6 +15,7 @@
 # ==============================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name anatram.com.br;
 

conf.d/business.itguys.com.br.conf

@@ -37,6 +37,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name business.itguys.com.br autolab.itguys.com.br;
 

conf.d/cloud.grupopralog.com.br.conf

@@ -35,6 +35,7 @@ upstream officeonline_backend {
 
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name cloud.grupopralog.com.br;
 

conf.d/default-catchall.conf

@@ -51,8 +51,10 @@
 server {
     # --- Bloco 1: Configurações de Escuta e Servidor Padrão ---
     listen 80 default_server;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80 default_server;
     listen 8080 default_server;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen 443 ssl http2 default_server;
     listen [::]:443 ssl http2 default_server;
 

conf.d/dns-primario.itguys.com.br.conf

@@ -15,6 +15,7 @@
 # ==============================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name dns-primario.itguys.com.br;
 

conf.d/ferreirareal.com.br.conf

@@ -26,6 +26,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     server_name ferreirareal.com.br www.ferreirareal.com.br;
 
     # Permite a renovação de certificado Let's Encrypt.

conf.d/git.itguys.com.br.conf

@@ -21,6 +21,7 @@ upstream gitea_backend {
 # ==============================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name git.itguys.com.br;
 

conf.d/integra.grupopralog.com.br.conf

@@ -14,6 +14,7 @@ upstream integra_gpl_backend {
 # Servidor HTTP (Redirecionamento HTTPS)
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name integra.grupopralog.com.br;
 

conf.d/internal_networks.conf

@@ -0,0 +1,12 @@
+# Internal Networks Configuration
+# Define internal network ranges for access control
+
+# Allow access from internal networks
+allow 10.10.0.0/16;
+allow 10.11.0.0/16;
+allow 10.12.0.0/16;
+allow 172.16.0.0/16;
+allow 127.0.0.1;
+
+# Deny all others (uncomment if needed)
+# deny all;

conf.d/itguys.com.br.conf

@@ -21,6 +21,7 @@ upstream itguys_backend {
 # ==============================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name itguys.com.br www.itguys.com.br;
 

conf.d/katalog.itguys.com.br.conf

@@ -20,6 +20,7 @@ upstream snipeit_backend {
 # ==============================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name katalog.itguys.com.br;
 

conf.d/mimir.itguys.com.br.conf

@@ -20,6 +20,7 @@ upstream zabbix_backend {
 # ==============================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name mimir.itguys.com.br;
 

conf.d/monitoramento.itguys.com.br.conf

@@ -23,6 +23,7 @@ upstream grafana_backend {
 # ------------------------------------------------------------------------------
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name monitoramento.itguys.com.br;
 

conf.d/ns1.itguys.com.br.conf

@@ -23,6 +23,7 @@ upstream technitium_backend {
 # ------------------------------------------------------------------------------
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name ns1.itguys.com.br;
 

conf.d/ns2.itguys.com.br.conf

@@ -23,6 +23,7 @@ upstream technitium_backend_ns2 {
 # ------------------------------------------------------------------------------
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name ns2.itguys.com.br;
 

conf.d/petytransportes.com.br.conf

@@ -29,6 +29,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name petytransportes.com.br www.petytransportes.com.br;
 

conf.d/pralog.com.br.conf

@@ -21,6 +21,7 @@ map $http_user_agent $block_bad_bots {
 # --- Servidor HTTP (Porta 80) -> Redirecionamento para HTTPS (Formato Limpo) ---
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name pralog.com.br www.pralog.com.br;
 

conf.d/proxy.itguys.com.br.conf

@@ -5,6 +5,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     server_name proxy.itguys.com.br;
 include /etc/nginx/snippets/custom_errors.conf; # Carrega as páginas de erro personalizadas
 

conf.d/rhema.itguys.com.br.conf

@@ -30,6 +30,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name rhema.itguys.com.br;
 

conf.d/solucionei.itguys.com.br.conf

@@ -29,6 +29,7 @@ upstream solucionei_backend {
 # ======================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name solucionei.itguys.com.br;
 

conf.d/telefonia.itguys.com.br.conf

@@ -22,6 +22,7 @@ upstream magnusbilling_backend {
 # ------------------------------------------------------------------------------
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name telefonia.itguys.com.br;
 
@@ -131,7 +132,7 @@ server {
     location ~* /mbilling/.*\.(?:css|js|mjs|svg|gif|png|jpg|jpeg|ico|wasm|woff2?|ttf|eot|json|xml|mp3|wav|ogg)$ {
         
         # DESABILITA ModSecurity (Solução para 403 Forbidden)
-        modsecurity off; 
+        # modsecurity off; # Directive disabled for NGINX Proxy (ModSecurity handles this externally now) 
         
         # Configurações de Cache
         proxy_cache magnusbilling_cache;

conf.d/test-connectivity.conf

@@ -0,0 +1,45 @@
+# ==============================================================================
+# ARQUIVO TEMPORÁRIO: Teste de Conectividade
+# REMOVER APÓS VALIDAÇÃO DA TAREFA 4
+# ==============================================================================
+
+server {
+    listen 8080;
+    server_name localhost test-connectivity;
+
+    # Health check simples
+    location /health {
+        return 200 "OK - nginx-proxy respondendo\n";
+        add_header Content-Type text/plain;
+    }
+
+    # Teste 1: Ping para 10.10.253.254
+    location /test/254 {
+        proxy_pass http://10.10.253.254/;
+        proxy_connect_timeout 5s;
+        proxy_read_timeout 10s;
+        error_page 502 504 = @test_failed;
+    }
+
+    # Teste 2: Ping para 10.10.253.128 (Gitea - porta 3000)
+    location /test/128 {
+        proxy_pass http://10.10.253.128:3000/;
+        proxy_connect_timeout 5s;
+        proxy_read_timeout 10s;
+        error_page 502 504 = @test_failed;
+    }
+
+    # Teste 3: Acesso via host.docker.internal (rede do host)
+    location /test/host {
+        # Tenta acessar a porta 80 do próprio host
+        proxy_pass http://host.docker.internal/;
+        proxy_connect_timeout 5s;
+        error_page 502 504 = @test_failed;
+    }
+
+    # Fallback para testes que falharam
+    location @test_failed {
+        return 503 "FALHA: Não foi possível conectar ao backend\n";
+        add_header Content-Type text/plain;
+    }
+}

conf.d/unifi.itguys.com.br.conf

@@ -23,6 +23,7 @@ upstream unifi_backend_inform {
 # =========================================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name unifi.itguys.com.br;
 
@@ -114,6 +115,7 @@ server {
 # =========================================================================================
 server {
     listen 8080;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:8080;
     server_name unifi.itguys.com.br;
 

conf.d/vcenter.itguys.com.br.conf

@@ -24,6 +24,7 @@ server {
     } # managed by Certbot
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name vcenter.itguys.com.br;
 

conf.d/verbocloud.itguys.com.br.conf

@@ -42,6 +42,7 @@ upstream office_online_backend {
 # ----------------------------------------------------------------------
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
 
     server_name verbocloud.itguys.com.br;

conf.d/vscode.itguys.com.br.conf

@@ -25,6 +25,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     server_name vscode.itguys.com.br;
 
     # Logs para o redirecionamento

conf.d/windmill.grupopralog.com.br.conf

@@ -20,6 +20,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name windmill.grupopralog.com.br;
 

conf.d/workspace.itguys.com.br.conf

@@ -31,6 +31,7 @@ server {
 
 
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name workspace.itguys.com.br;
 

conf.d/zammad.itguys.com.br.conf

@@ -33,6 +33,7 @@ upstream zammad_websocket_backend {
 # ======================================================================
 server {
     listen 80;
+    include /etc/nginx/snippets/acme_challenge.conf;
     listen [::]:80;
     server_name zammad.itguys.com.br;
 

deploy.sh

@@ -0,0 +1,22 @@
+#!/bin/bash
+set -e
+
+echo "Detecting Public IP..."
+CURRENT_IP=$(curl -s https://ifconfig.me)
+
+if [ -z "$CURRENT_IP" ]; then
+    echo "Error: Could not detect Public IP."
+    exit 1
+fi
+
+echo "Public IP detected: $CURRENT_IP"
+echo "HOST_PUBLIC_IP=$CURRENT_IP" > .env
+
+echo "Building and testing..."
+docker compose build
+docker compose run --rm nginx-proxy nginx -t
+
+echo "Deploying..."
+docker compose up -d
+
+echo "Done! Proxy is running."

docker-compose.yml

@@ -0,0 +1,92 @@
+services:
+  # ============================================
+  # ModSecurity WAF (Frente do NGINX)
+  # ============================================
+  modsecurity:
+    image: owasp/modsecurity-crs:nginx-alpine
+    container_name: modsecurity-waf
+    restart: always
+    ports:
+      - "80:80"
+      - "443:443"
+    environment:
+      - BACKEND=http://nginx-proxy:8080
+      - PARANOIA=1
+      - ANOMALY_INBOUND=5
+      - ANOMALY_OUTBOUND=4
+    volumes:
+      - ./ssl:/etc/nginx/ssl:ro
+      - modsec_logs:/var/log/modsecurity
+      - ./modsec_rules:/etc/nginx/custom_rules
+      - ./modsec.conf.template:/etc/nginx/templates/modsecurity.d/modsecurity.conf.template
+    depends_on:
+      - nginx-proxy
+    extra_hosts:
+      - "host.docker.internal:host-gateway"
+      - "srvproxy001.itguys.com.br:172.16.254.1"
+      - "srvproxy001:172.16.254.1"
+      - "git.itguys.com.br:10.10.253.128"
+      - "git:10.10.253.128"
+      - "zammad.itguys.com.br:172.16.254.59"
+      - "zammad:172.16.254.59"
+      - "cloud.grupopralog.com.br:172.16.253.12"
+      - "business.itguys.com.br:172.16.121.13"
+      - "verbocloud.itguys.com.br:172.16.253.13"
+      - "srvoffice001.itguys.com.br:172.16.253.101"
+      - "srvoffice001:172.16.253.101"
+
+  # ============================================
+  # NGINX Proxy (Backend do ModSecurity)
+  # ============================================
+  nginx-proxy:
+    build: .
+    container_name: nginx-proxy
+    restart: always
+    expose:
+      - "8080"
+    environment:
+      - HOST_PUBLIC_IP=${HOST_PUBLIC_IP}
+    volumes:
+      - ./conf.d:/etc/nginx/conf.d
+      - ./ssl:/etc/nginx/ssl
+      - ./snippets:/etc/nginx/snippets
+      - nginx_cache:/var/cache/nginx
+      - nginx_logs:/var/log/nginx
+      - ./certbot/conf:/etc/letsencrypt
+      - ./certbot/www:/var/www/certbot
+    extra_hosts:
+      - "host.docker.internal:host-gateway"
+      - "server-254:10.10.253.254"
+      - "gitea-server:10.10.253.128"
+      - "srvproxy001.itguys.com.br:172.16.254.1"
+      - "srvproxy001:172.16.254.1"
+      - "git.itguys.com.br:10.10.253.128"
+      - "git:10.10.253.128"
+      - "zammad.itguys.com.br:172.16.254.59"
+      - "zammad:172.16.254.59"
+      - "cloud.grupopralog.com.br:172.16.253.12"
+      - "business.itguys.com.br:172.16.121.13"
+      - "verbocloud.itguys.com.br:172.16.253.13"
+      - "srvoffice001.itguys.com.br:172.16.253.101"
+      - "srvoffice001:172.16.253.101"
+
+  # ============================================
+  # Fail2ban (Lê logs e bane IPs)
+  # ============================================
+  fail2ban:
+    image: crazymax/fail2ban:latest
+    container_name: fail2ban
+    restart: always
+    network_mode: host
+    cap_add:
+      - NET_ADMIN
+      - NET_RAW
+    volumes:
+      - ./fail2ban:/data
+      - nginx_logs:/var/log/nginx:ro
+      - modsec_logs:/var/log/modsecurity:ro
+
+volumes:
+  nginx_cache:
+  nginx_logs:
+  modsec_logs:

fail2ban/filter.d/nginx-badbots.conf

@@ -0,0 +1,7 @@
+[Definition]
+
+# Detect failed login attempts and suspicious activity from NGINX logs
+failregex = ^<HOST> .* "(GET|POST|HEAD).* HTTP/.*" 4[0-9]{2}
+            ^<HOST> .* "(GET|POST|HEAD).*(\.env|\.git|wp-login|phpmyadmin).* HTTP/.*"
+
+ignoreregex =

fail2ban/jail.d/nginx.conf

@@ -0,0 +1,8 @@
+[nginx-badbots]
+enabled = true
+filter = nginx-badbots
+logpath = /var/log/nginx/*.log
+maxretry = 5
+findtime = 300
+bantime = 3600
+action = iptables-multiport[name=nginx, port="80,443", protocol=tcp]

hosts

@@ -1,13 +0,0 @@
-127.0.0.1	localhost
-172.16.254.1	srvproxy001.itguys.com.br	srvproxy001
-10.10.253.128   git.itguys.com.br               git
-172.16.254.59   zammad.itguys.com.br            zammad
-172.16.253.12   cloud.grupopralog.com.br
-172.16.121.13   business.itguys.com.br
-172.16.253.13   verbocloud.itguys.com.br
-172.16.253.101 srvoffice001 srvoffice001.itguys.com.br
-#172.16.253.101  srvoffice001.itguys.com.br	srvoffice001
-# The following lines are desirable for IPv6 capable hosts
-::1     localhost ip6-localhost ip6-loopback
-ff02::1 ip6-allnodes
-ff02::2 ip6-allrouters

install-proxy-sinc.sh

@@ -1,369 +0,0 @@
-#!/bin/bash
-# ==============================================================================#
-#     INSTALADOR INTELIGENTE DO SERVIÇO PROXY-SINC (VERSÃO PROFISSIONAL)        #
-#                                                                               #
-#                                                                               #
-# Descrição: Instala ou atualiza o serviço de versionamento, guardando as       #
-#            configurações de forma persistente.                                #
-# ==============================================================================#
-
-set -e
-
-# --- Variáveis de Configuração ---
-REPO_DIR="/opt/config_repo"
-SCRIPT_INSTALL_DIR="/usr/local/sbin"
-SYSTEMD_DIR="/etc/systemd/system"
-MAN_DIR="/usr/share/man/man8"
-CONFIG_DIR="/etc/proxy-sinc"
-# Ficheiro para guardar as credenciais do Git de forma persistente.
-CREDENTIALS_FILE="${CONFIG_DIR}/git.conf"
-PATHS_FILE="${CONFIG_DIR}/paths.conf"
-UPDATE_SCRIPT_URL="http://git.itguys.com.br/joao.goncalves/NgixProxy_Pathfinder/raw/branch/main/Instal-Proxy-Sinc.sh"
-
-# --- Funções de Ajuda ---
-info() { echo -e "\e[32m[INFO]\e[0m $1"; }
-error() { echo -e "\e[31m[ERRO]\e[0m $1" >&2; exit 1; }
-warn() { echo -e "\e[33m[AVISO]\e[0m $1"; }
-
-# --- Início da Execução ---
-info "Iniciando a instalação/atualização do serviço Proxy-Sinc..."
-if [ "$EUID" -ne 0 ]; then error "Este script precisa de ser executado como root."; fi
-
-# --- 1. Verificação de Dependências ---
-info "A verificar as dependências (git, rsync)..."
-apt-get update > /dev/null
-apt-get install -y git rsync > /dev/null
-if ! command -v man &> /dev/null; then
-    warn "O comando 'man' não foi encontrado. A instalar 'man-db'..."
-    apt-get install -y man-db > /dev/null
-fi
-info "Dependências satisfeitas."
-
-# --- 2. Lógica de Instalação vs. Atualização ---
-mkdir -p "$CONFIG_DIR"
-
-if [ -f "$CREDENTIALS_FILE" ]; then
-    # MODO DE ATUALIZAÇÃO: Carrega as credenciais existentes.
-    info "Ficheiro de configuração encontrado. A executar em modo de atualização."
-    source "$CREDENTIALS_FILE"
-    read -p "Identificação do Colaborador para o registo de ATUALIZAÇÃO: " DEPLOYER_ID
-    ACTION_TYPE="Atualização Manual"
-else
-    # MODO DE INSTALAÇÃO: Pede as credenciais pela primeira vez.
-    info "Nenhum ficheiro de configuração encontrado. A executar em modo de instalação inicial."
-    read -p "Por favor, insira a URL HTTP ou HTTPS do seu repositório Gitea: " GIT_URL
-    read -p "Por favor, insira o seu NOME DE UTILIZADOR do Gitea: " GITEA_USERNAME
-    read -s -p "Por favor, insira o seu TOKEN DE ACESSO do Gitea (ficará oculto): " GITEA_TOKEN
-    echo ""
-    read -p "Identificação do Colaborador para o registo de INSTALAÇÃO: " DEPLOYER_ID
-    ACTION_TYPE="Instalação Manual Inicial"
-
-    if [ -z "$GIT_URL" ] || [ -z "$GITEA_USERNAME" ] || [ -z "$GITEA_TOKEN" ] || [ -z "$DEPLOYER_ID" ]; then
-        error "Todos os campos são obrigatórios."
-    fi
-
-    # Guarda as credenciais para uso futuro.
-    info "A guardar as credenciais em ${CREDENTIALS_FILE}..."
-    (
-        echo "GIT_URL=\"$GIT_URL\""
-        echo "GITEA_USERNAME=\"$GITEA_USERNAME\""
-        echo "GITEA_TOKEN=\"$GITEA_TOKEN\""
-    ) > "$CREDENTIALS_FILE"
-    chmod 600 "$CREDENTIALS_FILE" # Torna o ficheiro legível apenas pelo root.
-fi
-
-# --- 3. Configuração do Repositório Git ---
-GIT_PROTOCOL=$(echo "$GIT_URL" | grep -o '^https\?://')
-GIT_DOMAIN_PATH=$(echo "$GIT_URL" | sed -e 's|https\?://||')
-AUTH_GIT_URL="${GIT_PROTOCOL}${GITEA_USERNAME}:${GITEA_TOKEN}@${GIT_DOMAIN_PATH}"
-
-SERVER_HOSTNAME=$(hostname -f)
-GIT_COMMIT_NAME="$SERVER_HOSTNAME"
-GIT_COMMIT_EMAIL="${SERVER_HOSTNAME%%.*}@itguys.com.br"
-info "O autor dos commits será definido como: $GIT_COMMIT_NAME <$GIT_COMMIT_EMAIL>"
-
-# Testa a conexão SSL de forma inteligente.
-SSL_VERIFY="true"
-if ! git -c http.sslVerify=true ls-remote "$GIT_URL" &> /dev/null; then
-    warn "A conexão com verificação SSL falhou. A tentar novamente sem verificação..."
-    if git -c http.sslVerify=false ls-remote "$GIT_URL" &> /dev/null; then
-        warn "Conexão bem-sucedida sem verificação SSL. O repositório será configurado para ignorar os erros de certificado."
-        SSL_VERIFY="false"
-    else
-        error "Não foi possível conectar ao repositório Git."
-    fi
-else
-    info "Conexão com verificação SSL bem-sucedida."
-fi
-
-# CORREÇÃO DO ERRO: Verifica se o diretório existe ANTES de tentar clonar.
-if [ -d "$REPO_DIR/.git" ]; then
-    warn "O diretório do repositório $REPO_DIR já existe. A reconfigurar..."
-    cd "$REPO_DIR"
-    git remote set-url origin "$AUTH_GIT_URL"
-    info "URL do remoto 'origin' atualizada."
-else
-    info "A clonar o repositório para $REPO_DIR..."
-    # Remove o diretório se ele existir mas não for um repo, para evitar o erro.
-    rm -rf "$REPO_DIR"
-    git clone "$GIT_URL" "$REPO_DIR"
-    cd "$REPO_DIR"
-    info "A configurar a URL do remoto com as credenciais..."
-    git remote set-url origin "$AUTH_GIT_URL"
-fi
-
-git config user.name "$GIT_COMMIT_NAME"
-git config user.email "$GIT_COMMIT_EMAIL"
-git config http.sslVerify "$SSL_VERIFY"
-info "Repositório configurado com sucesso."
-
-# --- 4. Gerar Ficheiro de Deploy ---
-DEPLOY_LOG_DIR="$REPO_DIR/_deployment_logs"
-DEPLOY_LOG_FILE="${DEPLOY_LOG_DIR}/${SERVER_HOSTNAME}.md"
-
-info "A criar/atualizar o registo de deploy..."
-mkdir -p "$DEPLOY_LOG_DIR"
-if [ ! -f "$DEPLOY_LOG_FILE" ]; then
-    echo "# Registo de Deploy do Proxy-Sinc para ${SERVER_HOSTNAME}" > "$DEPLOY_LOG_FILE"
-fi
-echo "" >> "$DEPLOY_LOG_FILE"
-echo "---" >> "$DEPLOY_LOG_FILE"
-echo "**Tipo de Ação:** ${ACTION_TYPE}" >> "$DEPLOY_LOG_FILE"
-echo "**Executado por:** ${DEPLOYER_ID}" >> "$DEPLOY_LOG_FILE"
-echo "**Data:** $(date)" >> "$DEPLOY_LOG_FILE"
-
-git add "$DEPLOY_LOG_FILE"
-git commit -m "[Deploy] ${ACTION_TYPE} por ${DEPLOYER_ID} em ${SERVER_HOSTNAME}"
-git push origin main
-info "Registo de deploy enviado para o Gitea."
-
-# --- 5. Gerar os Ficheiros do Serviço ---
-info "A gerar e a instalar os ficheiros do serviço..."
-
-if [ ! -f "$PATHS_FILE" ]; then
-    info "A criar o ficheiro de caminhos padrão em $PATHS_FILE"
-    echo "# Adicione aqui os caminhos completos para os ficheiros e diretórios que deseja versionar." > "$PATHS_FILE"
-    echo "/etc/nginx" >> "$PATHS_FILE"
-    echo "/etc/fail2ban" >> "$PATHS_FILE"
-fi
-
-# Gera o script principal de commit
-cat > "$SCRIPT_INSTALL_DIR/commit_configs.sh" << 'EOF'
-#!/bin/bash
-set -e
-REPO_PATH="/opt/config_repo"
-CONFIG_DIR="/etc/proxy-sinc"
-PATHS_FILE="${CONFIG_DIR}/paths.conf"
-AUTOMATION_FILES_SOURCE=("/usr/local/sbin/commit_configs.sh" "/usr/local/sbin/proxy-sinc-update" "/etc/systemd/system/proxy-sinc.service" "/etc/systemd/system/proxy-sinc.timer" "/etc/systemd/system/proxy-sinc-update.service" "/etc/systemd/system/proxy-sinc-update.timer" "/usr/share/man/man8/proxy-sinc.8.gz" "${PATHS_FILE}" "${CONFIG_DIR}/git.conf")
-AUTOMATION_FILES_DEST="$REPO_PATH/_automation_scripts/"
-log_info() { echo "[INFO] $1"; }
-log_info "--- Iniciando a verificação de sincronização [$(date)] ---"
-if [ "$EUID" -ne 0 ]; then echo "[ERRO] O script deve ser executado como root." >&2; exit 1; fi
-if [ ! -d "$REPO_PATH/.git" ]; then echo "[ERRO] O diretório $REPO_PATH não é um repositório Git válido." >&2; exit 1; fi
-log_info "Sincronizando ficheiros de configuração definidos em $PATHS_FILE..."
-if [ ! -f "$PATHS_FILE" ]; then
-    echo "[AVISO] O ficheiro de caminhos $PATHS_FILE não foi encontrado."
-else
-    while IFS= read -r path_to_sync || [ -n "$path_to_sync" ]; do
-        if [ -z "$path_to_sync" ] || [[ "$path_to_sync" =~ ^# ]]; then continue; fi
-        if [ -e "$path_to_sync" ]; then
-            rsync -avz --delete --exclude='*.swp' --exclude='*.bak' --exclude='sites-enabled/' --exclude='modules-enabled/' --exclude='/var/log/' --exclude='/var/run/' --exclude='/var/cache/' "$path_to_sync" "$REPO_PATH/"
-        else
-            echo "[AVISO] O caminho '$path_to_sync' não existe. A ignorar."
-        fi
-    done < "$PATHS_FILE"
-fi
-log_info "Sincronizando ficheiros de automação..."
-mkdir -p "$AUTOMATION_FILES_DEST"
-for file in "${AUTOMATION_FILES_SOURCE[@]}"; do
-    if [ -f "$file" ]; then rsync -aR "$file" "$AUTOMATION_FILES_DEST"; fi
-done
-cd "$REPO_PATH"
-# GARANTE A SEGURANÇA: Cria/atualiza o .gitignore para NUNCA versionar o ficheiro de credenciais.
-echo "_automation_scripts/etc/proxy-sinc/git.conf" > .gitignore
-log_info "A verificar o status do repositório Git..."
-if [ -n "$(git status --porcelain)" ]; then
-    log_info "Alterações detetadas."
-    git pull --ff-only
-    git add .
-    COMMIT_MESSAGE="[Auto-Sync] Atualização das configurações em $(hostname -f) - $(date +'%Y-%m-%d %H:%M:%S')"
-    log_info "A fazer o commit com a mensagem: $COMMIT_MESSAGE"
-    git commit -m "$COMMIT_MESSAGE"
-    log_info "A enviar as alterações para o Gitea (git push)..."
-    git push origin main
-    echo "[SUCESSO] As alterações foram enviadas para o repositório remoto!"
-else
-    log_info "Nenhuma alteração de configuração detetada."
-fi
-log_info "--- Verificação de sincronização concluída [$(date)] ---"
-exit 0
-EOF
-
-# Gera o script de atualização
-cat > "$SCRIPT_INSTALL_DIR/proxy-sinc-update" << EOF
-#!/bin/bash
-set -e
-echo "A procurar por atualizações para o serviço Proxy-Sinc..."
-UPDATE_SCRIPT_URL="${UPDATE_SCRIPT_URL}"
-TEMP_SCRIPT="/tmp/setup_latest.sh"
-echo "A baixar a versão mais recente do instalador de: \$UPDATE_SCRIPT_URL"
-SSL_VERIFY_FLAG=""
-if [ -f "/etc/proxy-sinc/git.conf" ] && [ -d "/opt/config_repo/.git" ]; then
-    if [ "\$(cd /opt/config_repo && git config --get http.sslVerify)" == "false" ]; then
-        SSL_VERIFY_FLAG="--insecure"
-    fi
-fi
-if curl \$SSL_VERIFY_FLAG -L "\$UPDATE_SCRIPT_URL" -o "\$TEMP_SCRIPT"; then
-    chmod +x "\$TEMP_SCRIPT"
-    echo "Instalador baixado com sucesso. A executar a atualização..."
-    sudo "\$TEMP_SCRIPT"
-    rm "\$TEMP_SCRIPT"
-    echo "Atualização concluída!"
-else
-    echo "ERRO: Falha ao baixar o script de atualização." >&2; exit 1
-fi
-exit 0
-EOF
-
-# Gera os ficheiros de serviço do systemd
-cat > "$SYSTEMD_DIR/proxy-sinc.service" << 'EOF'
-[Unit]
-Description=Serviço de Sincronização de Configurações do Nginx para o Git
-[Service]
-Type=oneshot
-ExecStart=/usr/local/sbin/commit_configs.sh
-EOF
-
-cat > "$SYSTEMD_DIR/proxy-sinc.timer" << 'EOF'
-[Unit]
-Description=Executa o serviço de sincronização de configurações a cada minuto
-[Timer]
-OnBootSec=1min
-OnUnitActiveSec=1min
-Unit=proxy-sinc.service
-[Install]
-WantedBy=timers.target
-EOF
-
-# Gera os ficheiros de serviço para a verificação de atualizações semanal
-cat > "$SYSTEMD_DIR/proxy-sinc-update.service" << 'EOF'
-[Unit]
-Description=Serviço de Verificação Semanal de Atualizações para o Proxy-Sinc
-[Service]
-Type=oneshot
-ExecStart=/usr/local/sbin/proxy-sinc-update
-EOF
-
-cat > "$SYSTEMD_DIR/proxy-sinc-update.timer" << 'EOF'
-[Unit]
-Description=Executa a verificação de atualizações do Proxy-Sinc toda Segunda-feira
-[Timer]
-OnCalendar=Mon *-*-* 03:00:00
-RandomizedDelaySec=1h
-Unit=proxy-sinc-update.service
-[Install]
-WantedBy=timers.target
-EOF
-
-# Gera a nova man page
-cat > "$MAN_DIR/proxy-sinc.8" << 'EOF'
-.TH PROXY-SINC 8 "Setembro 2025" "iT Guys - Equipa de Infraestrutura" "Ferramentas de Sistema"
-.SH NAME
-proxy-sinc \- Serviço de versionamento automático de configurações de servidor.
-.SH SYNOPSIS
-.B systemctl status proxy-sinc.timer
-.br
-.B journalctl -u proxy-sinc.service
-.br
-.B proxy-sinc-update
-.br
-.B man proxy-sinc
-.SH DESCRIPTION
-.B proxy-sinc
-é um serviço de sistema que automatiza o controlo de versões de ficheiros de configuração críticos. A cada minuto, ele executa um script que sincroniza os ficheiros e diretórios definidos em \fI/etc/proxy-sinc/paths.conf\fR para um repositório Git. Se forem detetadas alterações, ele cria um commit e envia as alterações para um repositório Git remoto (Gitea).
-.PP
-Esta abordagem garante um histórico completo de todas as alterações, facilita a recuperação de desastres e serve como um backup centralizado.
-.SH CONFIGURAÇÃO
-.SS Adicionar/Remover Ficheiros para Sincronização
-A gestão dos ficheiros e diretórios a serem sincronizados é feita através do ficheiro de texto:
-.TP
-\fB/etc/proxy-sinc/paths.conf\fR
-Adicione um caminho absoluto por linha. Linhas vazias ou que começam com '#' são ignoradas. O script irá sincronizar cada caminho para a raiz do repositório Git.
-.sp
-Exemplo de conteúdo para \fI/etc/proxy-sinc/paths.conf\fR:
-.nf
-# Ficheiros e diretórios a serem versionados
-/etc/nginx
-/etc/fail2ban
-/etc/zabbix/zabbix_agentd.d/meu_parametro.conf
-.fi
-.SS Ver as Credenciais do Repositório
-As credenciais (URL, Utilizador, Token) usadas para a autenticação com o Gitea são guardadas de forma segura no seguinte ficheiro, que só pode ser lido pelo root:
-.TP
-\fB/etc/proxy-sinc/git.conf\fR
-Para ver o conteúdo, use o comando: \fIsudo cat /etc/proxy-sinc/git.conf\fR
-.SH AUDITORIA E HISTÓRICO
-.SS Histórico de Deploy
-O script regista cada instalação e atualização manual no repositório Git. Para ver quem e quando instalou ou atualizou o serviço neste servidor:
-.TP
-\fBcat /opt/config_repo/_deployment_logs/$(hostname -f).md\fR
-.SS Histórico de Alterações
-Para ver o histórico completo de todas as alterações de configuração sincronizadas, use os comandos padrão do git dentro do diretório do repositório:
-.TP
-\fBcd /opt/config_repo && sudo git log --oneline\fR
-.SH ATUALIZAÇÃO
-.SS ATUALIZAÇÃO MANUAL
-Para forçar uma atualização do serviço e dos seus scripts para a versão mais recente, execute o seguinte comando como root:
-.sp
-\fBproxy-sinc-update\fR
-.sp
-Este comando irá baixar e executar a versão mais recente do script de instalação. Ele irá ler as suas credenciais guardadas e pedir apenas a sua identificação de colaborador para o registo de deploy.
-.SS ATUALIZAÇÃO AUTOMÁTICA
-O sistema inclui um timer (\fIproxy-sinc-update.timer\fR) que executa o comando \fBproxy-sinc-update\fR automaticamente uma vez por semana (toda Segunda-feira às 3 da manhã).
-.SH DESINSTALAÇÃO
-Para remover completamente o serviço e os seus componentes, execute o script de instalação original com o argumento 'uninstall':
-.sp
-\fB/caminho/para/Instal-Proxy-Sinc.sh uninstall\fR
-.sp
-Ele irá parar os serviços, remover todos os ficheiros de sistema e perguntar se deseja apagar o diretório de configuração e o repositório local.
-.SH FICHEIROS
-.TP
-\fB/usr/local/sbin/commit_configs.sh\fR
-O script principal que executa a sincronização a cada minuto.
-.TP
-\fB/usr/local/sbin/proxy-sinc-update\fR
-O script que gere a auto-atualização do serviço.
-.TP
-\fB/etc/systemd/system/proxy-sinc.timer\fR
-O timer que define a frequência da SINCRONIZAÇÃO (a cada minuto).
-.TP
-\fB/etc/systemd/system/proxy-sinc-update.timer\fR
-O timer que define a frequência da VERIFICAÇÃO DE ATUALIZAÇÕES (semanal).
-.SH SEE ALSO
-.BR git (1),
-.BR rsync (1),
-.BR systemd.service (5),
-.BR systemd.timer (5)
-EOF
-
-# --- 6. Ativar os Serviços ---
-info "A recarregar o systemd e a ativar os timers..."
-systemctl daemon-reload
-systemctl enable --now proxy-sinc.timer
-systemctl enable --now proxy-sinc-update.timer
-info "Serviços ativados e a correr!"
-
-# --- Conclusão ---
-echo ""
-info "======================================================================"
-info " Instalação/Atualização Concluída!"
-info "======================================================================"
-info "O serviço 'proxy-sinc' está agora ativo."
-info ""
-info "Comandos úteis:"
-info "  Ver o status do timer de sincronização: systemctl status proxy-sinc.timer"
-info "  Ver os logs da última execução: journalctl -u proxy-sinc.service"
-info "  Para forçar uma atualização agora: sudo proxy-sinc-update"
-info "  Ler o manual de ajuda: man proxy-sinc"
-info "  Para adicionar novos ficheiros/pastas, edite: /etc/proxy-sinc/paths.conf"
-info ""