.dockerignore

@@ -1,48 +0,0 @@
-# Documentation and config folders
-.gemini/
-.git/
-.github/
-.vscode/
-.idea/
-
-# Legacy files (not needed in container)
-legacy/
-
-# Logs and debug files
-*.log
-debug_logs*.txt
-nginx_test*.log
-
-# Environment files
-.env
-.env.local
-
-# Git files
-.gitignore
-.gitattributes
-
-# Documentation
-README.md
-*.md
-!nginx.conf
-
-# Docker files (avoid recursive includes)
-docker-compose*.yml
-Dockerfile*
-
-# Temporary and backup files
-*.tmp
-*.bak
-*.swp
-*.swo
-*~
-
-# OS files
-.DS_Store
-Thumbs.db
-
-# SSL private keys (should be mounted as volume, not baked in)
-ssl/*.key
-
-# Disabled configs
-*.disabled

.gemini/GEMINI.md

@@ -1,135 +0,0 @@
-# NGINX Pathfinder Proxy - Documentação Técnica
-
-## Visão Geral
-
-Projeto de infraestrutura para Proxy Reverso de Alta Disponibilidade, utilizando Containers Docker para modularidade e fácil manutenção.
-
-## Arquitetura de Containers
-
-O projeto roda sobre 3 serviços orquestrados via `docker-compose.yml`:
-
-| Serviço | Imagem | Porta Exposta | Função |
-|---------|--------|---------------|--------|
-| **modsecurity** | `owasp/modsecurity-crs:nginx-alpine` | `80`, `443` | **Frontend (WAF)**. Recebe todo o tráfego da internet, filtra ataques (SQLi, XSS) e encaminha requisições limpas para o Proxy. |
-| **nginx-proxy** | `alpine` (Custom Build) | `8080` (Interna) | **Backend Proxy**. Gerencia vhosts, terminação SSL, cache, compressão Brotli e roteamento para as aplicações finais. |
-| **fail2ban** | `crazymax/fail2ban` | - | **Watchdog**. Lê logs compartilhados dos dois containers acima e bane IPs maliciosos diretamente no host (via iptables). |
-
----
-
-## Automação SSL
-
-O sistema possui um mecanismo de **auto-cura** para certificados SSL.
-
-### Componentes
-1. **Certbot**: Instalado dentro do container `nginx-proxy`.
-2. **Volumes**:
-   - `ssl/`: Onde ficam os arquivos `.crt` e `.key` usados pelo NGINX.
-   - `certbot/`: Onde o Certbot guarda os arquivos originais do Let's Encrypt.
-3. **Scripts**:
-   - `scripts/inject_acme.sh`: Varre todos os arquivos em `conf.d/` e injeta o snippet de validação ACME (`.well-known`) se não existir.
-   - `scripts/renew_ssl.sh`: 
-     1. Verifica a data de expiração de cada certificado ativo.
-     2. Se faltar **3 dias ou menos**, dispara `certbot renew`.
-     3. Copia os novos arquivos gerados para a pasta `ssl/`.
-     4. Recarrega o NGINX.
-
-### Agendamento
-- **Cron**: Configurado no `pre-flight.sh` para rodar todos os dias às **01:00 AM**.
-- **Startup**: A verificação também roda a cada reinício do container.
-
----
-
-## Estrutura de Arquivos
-
-```
-.
-├── conf.d/              # Configurações de sites (VHosts)
-├── snippets/            # Trechos reutilizáveis
-│   ├── acme_challenge.conf # Snippet para validação Let's Encrypt
-│   ├── internal_networks.conf # IPs permitidos (VPN/Local)
-│   └── ...
-├── scripts/             # Scripts de automação
-│   ├── pre-flight.sh    # Entrypoint (DNS Check + Cron Setup)
-│   ├── inject_acme.sh   # Injetor de config ACME
-│   └── renew_ssl.sh     # Lógica de renovação
-├── ssl/                 # Certificados em uso
-├── fail2ban/            # Configs do Fail2ban
-│   ├── jail.d/          # Definição das prisões
-│   └── filter.d/        # Regex de detecção
-├── .gemini/             # Documentação do projeto
-└── docker-compose.yml   # Orquestração
-```
-
----
-
-## Módulos Especiais
-
-### 1. Brotli & Headers More
-O container `nginx-proxy` é construído manualmente (`Dockerfile`) para incluir módulos que não vêm por padrão no Alpine:
-- `nginx-mod-http-brotli`
-- `nginx-mod-http-headers-more`
-
-### 2. ModSecurity (WAF)
-Rodar o WAF em container separado (`modsecurity`) evita a necessidade de compilar o ModSecurity no NGINX principal.
-
-**Arquitetura Customizada:**
-- **Injeção de Template**: Um arquivo `modsec.conf.template` local é montado durante o boot para contornar limitações de permissão do container oficial. Ele instrui o NGINX a carregar regras customizadas.
-- **Regras Modulares**: Localizadas em `modsec_rules/`, divididas por aplicação (`gitea-rule-exceptions.conf`, `nextcloud...`).
-- **Global**: `global-exceptions.conf` define apenas a whitelist de rede.
-- **Bypass de Emergência**: Se o WAF falhar, altere as portas no `docker-compose.yml` para expor o `nginx-proxy` diretamente.
-
----
-
-## Fluxo de Deploy Atualizado
-
-```mermaid
-graph TD
-    Start[Deploy] --> DetectIP[Detectar IP Público]
-    DetectIP --> Build[Docker Build (NGINX + Certbot)]
-    Build --> Up[Docker Compose Up]
-    Up --> PreFlight[Pre-Flight Script]
-    
-    PreFlight --> DNSCheck[Validar DNS dos Domínios]
-    DNSCheck --> CronSetup[Configurar Cron Job]
-    CronSetup --> SSLCheck[Verificar Validade SSL]
-    
-    SSLCheck -- Vence > 3 dias --> StartNginx[Iniciar NGINX]
-    SSLCheck -- Vence <= 3 dias --> Renew[Rodar renew_ssl.sh]
-    Renew --> StartNginx
-```
-
----
-
-## Comandos Operacionais
-
-**Verificar status dos serviços:**
-```bash
-docker compose ps
-```
-
-**Verificar validade dos SSL (Log):**
-```bash
-docker compose logs nginx-proxy | grep "SSL"
-```
-
-**Forçar renovação SSL manualmente:**
-```bash
-docker compose exec nginx-proxy /scripts/renew_ssl.sh
-```
-
-**Reload Zero-Downtime (Blue-Green Logic):**
-Este comando valida a configuração e executa um reload gracioso (`nginx -s reload`), onde novos workers assumem as novas configurações enquanto os antigos terminam as requisições correntes.
-```bash
-./scripts/reload.sh   # Linux
-./scripts/reload.ps1  # Windows PowerShell
-```
-
-**Banir um IP manualmente:**
-```bash
-docker compose exec fail2ban fail2ban-client set nginx-badbots banip 1.2.3.4
-```
-
-**Adicionar novo site:**
-1. Criar `conf.d/novo-site.conf`
-2. `docker compose restart nginx-proxy`
-3. O script de startup irá validar o DNS e injetar o suporte ACME automaticamente.

.gemini/TODO.md

@@ -1,40 +0,0 @@
-# Tarefas Pendentes e Melhorias Futuras
-
-## 1. Gestão Dinâmica de DNS
-**Origem:** Migração de `legacy/hosts`
-- **Problema:** O método atual usa `extra_hosts` no `docker-compose.yml`, que é estático e exige recriação do container para alterações.
-- **Objetivo:** Mudar o modo de registro e atualização de DNS para ser mais dinâmico ou simples.
-- **Ideias:** DNS containerizado (Bind/CoreDNS) ou Service Discovery.
-
-## 2. Revisão de Regras ModSecurity
-**Origem:** Migração de `legacy/nginx/modsecurity/*.conf` (Regras Antigas)
-- **Status:** ✅ Concluído.
-- **Resolução:** Regras refatoradas para estrutura modular (`modsec_rules/`). WAF ativo e configurado via template injection para Gitea, Nextcloud, Exchange, Zabbix e outros.
-- **Ação:** Monitorar logs (`modsec_audit.log`) para ajustes finos futuros.
-
-## 3. Atualizações Zero-Downtime (Sem Queda)
-**Objetivo:** Criar um método para atualizar configurações de sites sem que clientes externos percam a conexão.
-- **Status:** ✅ Concluído.
-- **Solução Implementada:** Script `./scripts/reload.sh` que executa `nginx -t` e `nginx -s reload` (Reload Suave/Process-Level Blue-Green).
-- **Como usar:** Execute `./scripts/reload.sh` após alterar qualquer `.conf`.
-
-## 4. Conexão Direta na Interface do Host
-**Objetivo:** Configurar o proxy para rotear tráfego tanto internamente (entre containers Docker) quanto externamente (para serviços fora do Docker).
-- **Status:** 🧪 Implementado - Aguardando Teste no Host
-- **Solução Implementada:**
-  - Adicionado `host.docker.internal:host-gateway` no `docker-compose.yml` para ambos containers
-  - Criado `snippets/docker_resolver.conf` para resolução DNS dinâmica de containers
-  - Criado `conf.d/test-connectivity.conf` (temporário) com endpoints de teste
-  - Atualizado diagrama de arquitetura no `README.md`
-- **Testes Necessários (no host de deploy):**
-  ```bash
-  # Rebuild e restart
-  docker compose build --no-cache nginx-proxy
-  docker compose down && docker compose up -d
-  
-  # Testar conectividade
-  docker compose exec nginx-proxy ping -c 2 10.10.253.254
-  docker compose exec nginx-proxy ping -c 2 10.10.253.128
-  ```
-- **Após Validação:** Deletar `conf.d/test-connectivity.conf` e marcar como ✅ Concluído.
-

.gitignore

@@ -1,34 +0,0 @@
-# Logs and debug files
-*.log
-debug_logs*.txt
-nginx_test*.log
-
-# Environment files
-.env
-.env.local
-
-# Docker
-docker-compose.override.yml
-
-# SSL certificates (sensitive - should be managed separately)
-ssl/*.key
-ssl/*.crt
-ssl/*.pem
-
-# Editor files
-.vscode/
-.idea/
-*.swp
-*.swo
-*~
-
-# OS files
-.DS_Store
-Thumbs.db
-
-# Temporary files
-*.tmp
-*.bak
-
-# Disabled configs
-*.disabled

Dockerfile

@@ -1,18 +0,0 @@
-FROM alpine:latest
-
-# Install NGINX and tools
-RUN apk add --no-cache nginx nginx-mod-http-brotli nginx-mod-http-headers-more bind-tools openssl curl certbot
-
-# Copy custom config
-COPY nginx.conf /etc/nginx/nginx.conf
-
-# Copy snippets
-COPY snippets/ /etc/nginx/snippets/
-
-# Copy scripts
-COPY scripts/ /scripts/
-RUN chmod +x /scripts/*.sh
-
-# Entrypoint
-ENTRYPOINT ["/scripts/pre-flight.sh"]
-CMD ["nginx", "-g", "daemon off;"]

README.md

@@ -1,238 +1,61 @@
-# NGINX Pathfinder Proxy
+# Serviço de Sincronização de Configurações - Proxy-Sinc
 
-Solução moderna de Proxy Reverso containerizado, construída com NGINX, ModSecurity WAF e automação de SSL.
+Este repositório contém as configurações e os scripts de automação para o serviço `proxy-sinc`, desenhado para automatizar o controlo de versões de ficheiros de configuração de servidores Linux para um repositório Git (Gitea).
 
-## 🚀 Funcionalidades
+O objetivo é criar um sistema robusto, auto-documentado e fácil de gerir para o backup e o histórico de alterações de configurações críticas como as do Nginx e do Fail2ban.
 
-### 🛡️ Segurança em Primeiro Lugar
-- **ModSecurity WAF**: Conjunto de Regras OWASP (CRS) integrado rodando como proxy sidecar/frontend.
-- **Fail2ban**: Serviço "cão de guarda" que bane IPs com comportamento suspeito (bots ruins, excesso de erros 4xx/5xx).
-- **Mapas de Segurança**: Bloqueio automatizado de User-Agents maliciosos e restrições de rede interna.
+## Funcionalidades Principais Implementadas pelo Instalador
 
-### ⚡ Performance
-- **HTTP/3 (QUIC)**: Habilitado para conexões modernas de baixa latência.
-- **Compressão Brotli**: Melhores taxas de compressão que o Gzip padrão.
-- **Headers More**: Manipulação avançada de cabeçalhos para respostas limpas.
+### Gestão de Dependências
 
-### 🔒 SSL Automatizado
-- **Renovação Zero-Touch**: O Certbot integrado verifica a validade diariamente.
-- **Auto-Renovação**: Renova automaticamente certificados próximos do vencimento (<= 3 dias).
-- **Injeção Inteligente**: Injeta automaticamente os snippets de desafio ACME nas configurações dos sites.
+* Verifica e instala automaticamente as dependências necessárias (`git`, `rsync`) usando `apt`.
 
----
+### Configuração Interativa e Segura
 
-## 🛠️ Como Trabalhar neste Repositório
+* Pede ao utilizador a URL do repositório, o nome de utilizador do Gitea e um Token de Acesso (que fica oculto durante a digitação) para a autenticação.
 
-### Pré-requisitos
-- Docker & Docker Compose instalados
-- Acesso à internet (para baixar imagens e validar SSL)
+* A URL do repositório é reconfigurada para incluir as credenciais, permitindo que as operações `git` futuras (como o `git push`) sejam executadas de forma não-interativa.
 
-### 1. Implantar o Servidor (Deploy)
-Para iniciar toda a infraestrutura:
-```bash
-./deploy.sh
-```
-*Este script detecta seu IP público, configura o ambiente e sobe os containers.*
+### Identidade de Commit Automática
 
-### 2. Adicionar um Novo Site
-Todas as configurações de sites ficam na pasta `conf.d/`.
+* O nome do autor dos commits é automaticamente definido como o hostname completo do servidor (ex: `srvproxy001.itguys.com.br`).
 
-1. **Crie o arquivo de configuração**:
-   Crie um arquivo `.conf` em `conf.d/` (ex: `meusite.com.br.conf`). Use um dos arquivos existentes como modelo.
-   
-   **Modelo Básico (com SSL):**
-   ```nginx
-   # Backend (para onde vai o tráfego)
-   upstream meu_backend {
-       server 192.168.1.10:8080;
-   }
+* O email do autor é gerado automaticamente a partir do hostname (ex: `srvproxy001@itguys.com.br`).
 
-   # Redirecionamento HTTP -> HTTPS
-   server {
-       listen 80;
-       server_name meusite.com.br;
-       include /etc/nginx/snippets/acme_challenge.conf; # Importante para SSL
-       return 301 https://$host$request_uri;
-   }
+### Gestão Inteligente de SSL
 
-   # Bloco HTTPS
-   server {
-       listen 443 ssl;
-       http2 on;
-       server_name meusite.com.br;
+* O script testa automaticamente a conexão com o Gitea. Se detetar um problema de certificado SSL (comum em ambientes internos), ele configura o repositório local para ignorar a verificação SSL, garantindo que a sincronização funcione.
 
-       ssl_certificate /etc/nginx/ssl/meusite.com.br.crt;
-       ssl_certificate_key /etc/nginx/ssl/meusite.com.br.key;
+### Registo de Deploy
 
-       include /etc/nginx/snippets/ssl_params.conf;
+* Na primeira instalação num novo servidor, o script cria um ficheiro de registo (`_deployment_logs/hostname.md`) no repositório, documentando quem (utilizador do Gitea) instalou o serviço e quando, criando uma trilha de auditoria.
 
-       location / {
-           proxy_pass http://meu_backend;
-           include /etc/nginx/includes/proxy_backend.conf;
-       }
-   }
-   ```
+### Instalação como Serviço `systemd`
 
-2. **Aplique as alterações**:
-   ```bash
-   docker compose restart nginx-proxy
-   ```
-   *No reinício, o script de pre-flight validará o DNS e injetará configurações de SSL necessárias.*
+* Gera e instala um serviço `systemd` (`proxy-sinc.service`) e um `timer` (`proxy-sinc.timer`).
 
-### 3. Modificar Configurações Globais
-As configurações globais são modularizadas na pasta `snippets/`.
+* Esta abordagem é superior ao `cron` pois integra-se perfeitamente com o sistema de logs `journald`, permitindo uma gestão fácil com `systemctl status`, `start`, `stop`, etc.
 
-- **Rate Limiting**: Edite `snippets/rate_limit.conf` para ajustar os limites de requisições por segundo.
-- **Bloqueio de Bots**: Edite `snippets/security_maps.conf` para adicionar novos User-Agents à lista negra.
-- **Cache**: Edite `snippets/cache_zones.conf` para definir novas zonas ou tempos de cache.
+* O timer está configurado para executar o script de sincronização **a cada minuto**.
 
-### 3.1. Modificar Regras do WAF (ModSecurity)
-O WAF agora utiliza uma estrutura modular de regras localizada na pasta `modsec_rules/`.
-- **Arquivos Específicos**: Regras para Gitea, Nextcloud, Exchange, Zabbix, etc. ficam em seus respectivos arquivos `.conf`.
-- **Global**: `global-exceptions.conf` contém apenas whitelists de rede interna.
-- **Aplicação**: Após editar qualquer regra, reinicie o container do WAF para aplicar:
-  ```bash
-  docker compose restart modsecurity
-  ```
-> **Nota Técnica**: O arquivo `modsec.conf.template` na raiz é injetado no container durante o boot para contornar problemas de permissão e garantir o carregamento das regras customizadas.
+### Sincronização Dinâmica de Ficheiros
 
-### 4. Gerenciar Certificados SSL
-O sistema gerencia isso automaticamente, mas você pode intervir manualmente se necessário.
+* O script principal de sincronização (`commit_configs.sh`) agora lê os caminhos a serem versionados a partir de um ficheiro de configuração central (`/etc/proxy-sinc/paths.conf`).
 
-- **Verificar Validade**:
-  Verifique os logs do startup para ver o status de todos os domínios:
-  ```bash
-  docker compose logs nginx-proxy | grep "SSL"
-  ```
+* Isto permite que os administradores adicionem ou removam ficheiros e pastas para sincronização no futuro, simplesmente editando este ficheiro de texto, sem precisar de alterar o script.
 
-- **Forçar Renovação**:
-  Se precisar renovar um certificado imediatamente:
-  ```bash
-  docker compose exec nginx-proxy /scripts/renew_ssl.sh
-  ```
+### Auto-Versionamento
 
-- **Reload sem Downtime (Recomendado)**:
-  Para aplicar alterações de configuração (vhosts, SSL) sem derrubar conexões ativas:
-  ```bash
-  ./scripts/reload.sh
-  ```
+* O script `commit_configs.sh` foi desenhado para se incluir a si mesmo e a todos os seus ficheiros de configuração e de serviço (`.service`, `.timer`, `man page`, `paths.conf`) no repositório Git. Desta forma, qualquer alteração na própria automação também é versionada.
 
-### 5. Monitorar e Debugar
+### Funcionalidade de Auto-Atualização
 
-- **Verificar Status dos Containers**:
-  ```bash
-  docker compose ps
-  ```
+* Instala um novo comando no sistema, `proxy-sinc-update`.
 
-- **Ver Logs em Tempo Real**:
-  ```bash
-  docker compose logs -f
-  ```
+* Quando executado, este comando baixa a versão mais recente do `setup.sh` a partir de uma URL pré-definida no repositório Gitea e executa-a, permitindo uma atualização fácil e centralizada de toda a automação.
 
-- **Verificar se o WAF (ModSecurity) bloqueou algo**:
-  ```bash
-  docker compose logs modsecurity | grep "Access denied"
-  ```
+### Documentação Integrada (`man page`)
 
-- **Verificar Banimentos do Fail2ban**:
-  ```bash
-  docker compose exec fail2ban fail2ban-client status nginx-badbots
-  ```
+* Gera e instala uma página de manual (`man proxy-sinc`) no sistema.
 
----
-
-## 🏗️ Visão Geral da Stack
-
-```mermaid
-graph TD
-    subgraph Internet
-        Client[Cliente Externo]
-    end
-
-    subgraph Host["Host Docker (Portainer)"]
-        subgraph PathfinderStack["Stack: Pathfinder-Proxy<br/>Rede: 172.112.0.0/16"]
-            WAF["ModSecurity WAF<br/>172.112.0.3<br/>:80, :443"]
-            NGINX["nginx-proxy<br/>172.112.0.2<br/>:8080 interno"]
-            F2B["fail2ban<br/>network: host"]
-        end
-        
-        subgraph HostNetwork["Rede Física do Host"]
-            HostIP["host.docker.internal<br/>(gateway)"]
-        end
-        
-        subgraph OtherStacks["Outras Stacks Docker"]
-            Container1["Container A<br/>172.111.0.x"]
-            Container2["Container B<br/>172.113.0.x"]
-        end
-    end
-
-    subgraph ExternalServers["Servidores Externos"]
-        Server254["10.10.253.254"]
-        Server128["10.10.253.128<br/>Gitea"]
-    end
-
-    Client -->|":80/:443"| WAF
-    WAF -->|"proxy_pass :8080"| NGINX
-    F2B -.->|"lê logs"| WAF
-    F2B -.->|"lê logs"| NGINX
-    
-    NGINX -->|"extra_hosts<br/>host-gateway"| HostIP
-    NGINX -.->|"bridge network"| Container1
-    NGINX -.->|"bridge network"| Container2
-    HostIP -->|"roteamento"| Server254
-    HostIP -->|"roteamento"| Server128
-
-    style WAF fill:#e74c3c,stroke:#c0392b,color:#fff
-    style NGINX fill:#3498db,stroke:#2980b9,color:#fff
-    style F2B fill:#27ae60,stroke:#1e8449,color:#fff
-    style Server128 fill:#9b59b6,stroke:#8e44ad,color:#fff
-    style Server254 fill:#9b59b6,stroke:#8e44ad,color:#fff
-    style HostIP fill:#f39c12,stroke:#d68910,color:#fff
-    style Container1 fill:#1abc9c,stroke:#16a085,color:#fff
-    style Container2 fill:#1abc9c,stroke:#16a085,color:#fff
-```
-
----
-
-## 📋 Sistemas e Servidores Configurados
-
-Lista de todos os sistemas roteados pelo proxy, organizados por tipo de infraestrutura.
-
-| Domínio | IP/Backend | Docker | VM | LXC | Descrição |
-|---------|------------|:------:|:--:|:---:|-----------|
-| `git.itguys.com.br` | 10.10.253.128 | ❌ | ❌ | ✅ | Gitea - Servidor Git |
-| `zammad.itguys.com.br` | 172.16.254.59 | ❌ | ❌ | ✅ | Zammad - Helpdesk |
-| `monitoramento.itguys.com.br` | 172.16.254.x | ❌ | ❌ | ✅ | Zabbix/Grafana |
-| `mimir.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Mimir - Métricas |
-| `windmill.grupopralog.com.br` | 172.16.253.103:8000 | ❌ | ❌ | ✅ | Windmill - Automação |
-| `katalog.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Katalog |
-| `verbocloud.itguys.com.br` | 172.16.253.13:11580 | ❌ | ❌ | ✅ | Nextcloud AIO |
-| `cloud.grupopralog.com.br` | 172.16.253.12 | ❌ | ❌ | ✅ | Nextcloud Pralog |
-| `srvoffice001.itguys.com.br` | 172.16.253.101 | ❌ | ✅ | ❌ | Exchange Server |
-| `business.itguys.com.br` | 172.16.121.13 | ❌ | ✅ | ❌ | Exchange OWA |
-| `vcenter.itguys.com.br` | 172.16.254.110:443 | ❌ | ✅ | ❌ | VMware vCenter |
-| `unifi.itguys.com.br` | 172.16.254.123:8443 | ❌ | ✅ | ❌ | UniFi Controller |
-| `workspace.itguys.com.br` | 172.16.121.2 | ❌ | ✅ | ❌ | Workspace Windows |
-| `vscode.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | VS Code Server |
-| `telefonia.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Central Telefônica |
-| `proxy.itguys.com.br` | localhost | ✅ | ❌ | ❌ | Este proxy |
-| `itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Principal |
-| `pralog.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Pralog |
-| `anatram.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Anatram |
-| `ferreirareal.com.br` | 172.16.x.x | ✅ | ❌ | ❌ | Site Ferreira Real |
-| `petytransportes.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Site Pety Transportes |
-| `solucionei.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Solucionei |
-| `rhema.itguys.com.br` | 172.16.x.x | ❌ | ✅ | ❌ | Rhema |
-| `integra.grupopralog.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | Integração Pralog |
-| `ns1.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Primário |
-| `ns2.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Secundário |
-| `dns-primario.itguys.com.br` | 172.16.x.x | ❌ | ❌ | ✅ | DNS Admin |
-
-> [!NOTE]
-> **Legenda:** Docker = Container Docker | VM = Máquina Virtual (VMware/Hyper-V) | LXC = Linux Container (Proxmox)
-> 
-> IPs marcados como `172.16.x.x` precisam ser verificados nos arquivos de configuração individuais.
-
----
-
-*Mantido por IT Guys*
+* O manual explica o que o serviço faz, como o gerir, como o atualizar e, o mais importante, como adicionar novos caminhos de ficheiros para serem sincronizados, tornando a ferramenta fácil de usar para qualquer membro da equipa no futuro.

_automation_scripts/etc/proxy-sinc/paths.conf

@@ -0,0 +1,12 @@
+# Adicione aqui os caminhos completos para os ficheiros e diretórios que deseja versionar, um por linha.
+# Linhas que começam com '#' são ignoradas.
+/etc/nginx
+/etc/fail2ban
+/etc/resolv.conf
+/etc/nsswitch.conf
+/etc/hosts
+/etc/ufw
+/etc/zabbix
+/etc/sudoers.d
+/etc/tmpfiles.d
+/etc/ssl

_automation_scripts/etc/systemd/system/proxy-sinc.service

@@ -0,0 +1,6 @@
+[Unit]
+Description=Serviço de Sincronização de Configurações do Nginx para o Git
+After=network.target
+[Service]
+Type=oneshot
+ExecStart=/usr/local/sbin/commit_configs.sh

_automation_scripts/etc/systemd/system/proxy-sinc.timer

@@ -0,0 +1,8 @@
+[Unit]
+Description=Executa o serviço de sincronização de configurações a cada minuto
+[Timer]
+OnBootSec=1min
+OnUnitActiveSec=1min
+Unit=proxy-sinc.service
+[Install]
+WantedBy=timers.target

_automation_scripts/usr/local/sbin/commit_configs.sh

@@ -0,0 +1,60 @@
+#!/bin/bash
+set -e
+
+REPO_PATH="/opt/config_repo"
+CONFIG_DIR="/etc/proxy-sinc"
+PATHS_FILE="${CONFIG_DIR}/paths.conf"
+AUTOMATION_FILES_SOURCE=("/usr/local/sbin/commit_configs.sh" "/usr/local/sbin/proxy-sinc-update" "/etc/systemd/system/proxy-sinc.service" "/etc/systemd/system/proxy-sinc.timer" "/usr/share/man/man8/proxy-sinc.8.gz" "${PATHS_FILE}")
+AUTOMATION_FILES_DEST="$REPO_PATH/_automation_scripts/"
+
+log_info() { echo "[INFO] $1"; }
+
+log_info "--- Iniciando a verificação de sincronização [$(date)] ---"
+if [ "$EUID" -ne 0 ]; then echo "[ERRO] O script deve ser executado como root." >&2; exit 1; fi
+if [ ! -d "$REPO_PATH/.git" ]; then echo "[ERRO] O diretório do repositório $REPO_PATH não é um repositório Git válido." >&2; exit 1; fi
+
+log_info "Sincronizando ficheiros de configuração definidos em $PATHS_FILE..."
+if [ ! -f "$PATHS_FILE" ]; then
+    echo "[AVISO] O ficheiro de caminhos $PATHS_FILE não foi encontrado. Nenhum ficheiro de configuração foi sincronizado."
+else
+    while IFS= read -r path_to_sync || [ -n "$path_to_sync" ]; do
+        if [ -z "$path_to_sync" ] || [[ "$path_to_sync" =~ ^# ]]; then
+            continue
+        fi
+
+        if [ -e "$path_to_sync" ]; then
+            # Copia para a raiz do repositório
+            rsync -avz --delete --exclude='*.swp' --exclude='*.bak' --exclude='sites-enabled/' --exclude='modules-enabled/' --exclude='/var/log/' --exclude='/var/run/' --exclude='/var/cache/' "$path_to_sync" "$REPO_PATH/"
+        else
+            echo "[AVISO] O caminho '$path_to_sync' definido em $PATHS_FILE não existe. A ignorar."
+        fi
+    done < "$PATHS_FILE"
+fi
+
+log_info "Sincronizando ficheiros de automação..."
+mkdir -p "$AUTOMATION_FILES_DEST"
+for file in "${AUTOMATION_FILES_SOURCE[@]}"; do
+    if [ -f "$file" ]; then
+        rsync -aR "$file" "$AUTOMATION_FILES_DEST"
+    fi
+done
+
+cd "$REPO_PATH"
+log_info "A verificar o status do repositório Git..."
+if [ -n "$(git status --porcelain)" ]; then
+    log_info "Alterações detetadas. A preparar o commit."
+    log_info "A puxar alterações do repositório remoto para evitar conflitos..."
+    git pull --ff-only
+    log_info "A adicionar alterações ao stage..."
+    git add .
+    COMMIT_MESSAGE="[Auto-Sync] Atualização das configurações em $(hostname -f) - $(date +'%Y-%m-%d %H:%M:%S')"
+    log_info "A fazer o commit com a mensagem: $COMMIT_MESSAGE"
+    git commit -m "$COMMIT_MESSAGE"
+    log_info "A enviar as alterações para o Gitea (git push)..."
+    git push origin main
+    echo "[SUCESSO] As alterações foram enviadas para o repositório remoto!"
+else
+    log_info "Nenhuma alteração de configuração detetada. O repositório está atualizado."
+fi
+log_info "--- Verificação de sincronização concluída [$(date)] ---"
+exit 0

_automation_scripts/usr/local/sbin/proxy-sinc-update

@@ -0,0 +1,27 @@
+#!/bin/bash
+set -e
+echo "A procurar por atualizações para o serviço Proxy-Sinc..."
+UPDATE_SCRIPT_URL="https://git.itguys.com.br/joao.goncalves/NgixProxy_Pathfinder/raw/branch/main/Instal-Proxy-Sinc.sh"
+TEMP_SCRIPT="/tmp/setup_latest.sh"
+
+echo "A baixar a versão mais recente do instalador de: $UPDATE_SCRIPT_URL"
+
+SSL_VERIFY_FLAG=""
+if [ -d "/opt/config_repo/.git" ]; then
+    if [ "$(cd /opt/config_repo && git config --get http.sslVerify)" == "false" ]; then
+        SSL_VERIFY_FLAG="--insecure"
+        echo "[AVISO] A usar o modo inseguro para baixar a atualização devido à configuração do repositório."
+    fi
+fi
+
+if curl $SSL_VERIFY_FLAG -L "$UPDATE_SCRIPT_URL" -o "$TEMP_SCRIPT"; then
+    chmod +x "$TEMP_SCRIPT"
+    echo "Instalador baixado com sucesso. A executar a atualização..."
+    sudo "$TEMP_SCRIPT"
+    rm "$TEMP_SCRIPT"
+    echo "Atualização concluída!"
+else
+    echo "ERRO: Falha ao baixar o script de atualização." >&2
+    exit 1
+fi
+exit 0

_deployment_logs/srvproxy001.itguys.com.br.md

@@ -0,0 +1,30 @@
+# Registo de Deploy do Proxy-Sinc
+
+**Servidor:** srvproxy001.itguys.com.br
+**Instalado por:** joao.goncalves
+**Data de Instalação:** ter 16 set 2025 19:03:23 -03
+
+---
+**Tipo de Ação:** Instalação Manual Inicial
+**Executado por:** joao.goncalves@itguys.com.br
+**Data:** ter 16 set 2025 20:13:37 -03
+
+---
+**Tipo de Ação:** Atualização Manual
+**Executado por:** joao.goncalves@itguys.com.br
+**Data:** ter 16 set 2025 20:16:56 -03
+
+---
+**Tipo de Ação:** Atualização Manual
+**Executado por:** joao.goncalves@itguys.com.br
+**Data:** ter 16 set 2025 20:29:19 -03
+
+---
+**Tipo de Ação:** Atualização Manual
+**Executado por:** joao.goncalves@itguys.com.br
+**Data:** ter 16 set 2025 20:35:37 -03
+
+---
+**Tipo de Ação:** Atualização Manual
+**Executado por:** joao.goncalves@itguys.com.br
+**Data:** ter 16 set 2025 20:41:37 -03

certbot/conf/options-ssl-nginx.conf

@@ -1,7 +0,0 @@
-ssl_session_cache shared:le_nginx_SSL:1m;
-ssl_session_timeout 1440m;
-
-ssl_protocols TLSv1.2 TLSv1.3;
-ssl_prefer_server_ciphers off;
-
-ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384";

certbot/conf/ssl-dhparams.pem

@@ -1,8 +0,0 @@
------BEGIN DH PARAMETERS-----
-MIIBDAKCAQEA7aEz2xmnoIbgtStbhLjO2kIgHb+mXbTBJi2aXSnMlih9Q2WWfEOY
-TrSw98BLop6l/6FS9XqCNAaB06AQLYIrXx1V3MtT1x9JcHfwbgKacDsEf+B+yYXS
-Avv8G6j6t4k0s7ovg9tVEpRr1n8YCDj1bWv1iiQjfotmzeex6NNE9rX31GvRpRhP
-jY+I9JDU0xG7GA16dNYYkq7kNPF7f1HmpFZOPiqox+IoMxZPlMZsKfRxmWpNPbgy
-Pmzbrf7i3Wj9gjjGbPSvJ5dnaz4XGqUxAXemAXhjQ9TLVEig2NNo8LeYp/1r22+H
-Wls/ddseH7N2lOr3M4oHsaUo4vsKG/SAfwIBAgICAOE=
------END DH PARAMETERS-----

conf.d/internal_networks.conf

@@ -1,12 +0,0 @@
-# Internal Networks Configuration
-# Define internal network ranges for access control
-
-# Allow access from internal networks
-allow 10.10.0.0/16;
-allow 10.11.0.0/16;
-allow 10.12.0.0/16;
-allow 172.16.0.0/16;
-allow 127.0.0.1;
-
-# Deny all others (uncomment if needed)
-# deny all;

conf.d/test-connectivity.conf

@@ -1,45 +0,0 @@
-# ==============================================================================
-# ARQUIVO TEMPORÁRIO: Teste de Conectividade
-# REMOVER APÓS VALIDAÇÃO DA TAREFA 4
-# ==============================================================================
-
-server {
-    listen 8080;
-    server_name localhost test-connectivity;
-
-    # Health check simples
-    location /health {
-        return 200 "OK - nginx-proxy respondendo\n";
-        add_header Content-Type text/plain;
-    }
-
-    # Teste 1: Ping para 10.10.253.254
-    location /test/254 {
-        proxy_pass http://10.10.253.254/;
-        proxy_connect_timeout 5s;
-        proxy_read_timeout 10s;
-        error_page 502 504 = @test_failed;
-    }
-
-    # Teste 2: Ping para 10.10.253.128 (Gitea - porta 3000)
-    location /test/128 {
-        proxy_pass http://10.10.253.128:3000/;
-        proxy_connect_timeout 5s;
-        proxy_read_timeout 10s;
-        error_page 502 504 = @test_failed;
-    }
-
-    # Teste 3: Acesso via host.docker.internal (rede do host)
-    location /test/host {
-        # Tenta acessar a porta 80 do próprio host
-        proxy_pass http://host.docker.internal/;
-        proxy_connect_timeout 5s;
-        error_page 502 504 = @test_failed;
-    }
-
-    # Fallback para testes que falharam
-    location @test_failed {
-        return 503 "FALHA: Não foi possível conectar ao backend\n";
-        add_header Content-Type text/plain;
-    }
-}

deploy.sh

@@ -1,22 +0,0 @@
-#!/bin/bash
-set -e
-
-echo "Detecting Public IP..."
-CURRENT_IP=$(curl -s https://ifconfig.me)
-
-if [ -z "$CURRENT_IP" ]; then
-    echo "Error: Could not detect Public IP."
-    exit 1
-fi
-
-echo "Public IP detected: $CURRENT_IP"
-echo "HOST_PUBLIC_IP=$CURRENT_IP" > .env
-
-echo "Building and testing..."
-docker compose build
-docker compose run --rm nginx-proxy nginx -t
-
-echo "Deploying..."
-docker compose up -d
-
-echo "Done! Proxy is running."

docker-compose.yml

@@ -1,92 +0,0 @@
-services:
-  # ============================================
-  # ModSecurity WAF (Frente do NGINX)
-  # ============================================
-  modsecurity:
-    image: owasp/modsecurity-crs:nginx-alpine
-    container_name: modsecurity-waf
-    restart: always
-    ports:
-      - "80:80"
-      - "443:443"
-    environment:
-      - BACKEND=http://nginx-proxy:8080
-      - PARANOIA=1
-      - ANOMALY_INBOUND=5
-      - ANOMALY_OUTBOUND=4
-    volumes:
-      - ./ssl:/etc/nginx/ssl:ro
-      - modsec_logs:/var/log/modsecurity
-      - ./modsec_rules:/etc/nginx/custom_rules
-      - ./modsec.conf.template:/etc/nginx/templates/modsecurity.d/modsecurity.conf.template
-    depends_on:
-      - nginx-proxy
-    extra_hosts:
-      - "host.docker.internal:host-gateway"
-      - "srvproxy001.itguys.com.br:172.16.254.1"
-      - "srvproxy001:172.16.254.1"
-      - "git.itguys.com.br:10.10.253.128"
-      - "git:10.10.253.128"
-      - "zammad.itguys.com.br:172.16.254.59"
-      - "zammad:172.16.254.59"
-      - "cloud.grupopralog.com.br:172.16.253.12"
-      - "business.itguys.com.br:172.16.121.13"
-      - "verbocloud.itguys.com.br:172.16.253.13"
-      - "srvoffice001.itguys.com.br:172.16.253.101"
-      - "srvoffice001:172.16.253.101"
-
-  # ============================================
-  # NGINX Proxy (Backend do ModSecurity)
-  # ============================================
-  nginx-proxy:
-    build: .
-    container_name: nginx-proxy
-    restart: always
-    expose:
-      - "8080"
-    environment:
-      - HOST_PUBLIC_IP=${HOST_PUBLIC_IP}
-    volumes:
-      - ./conf.d:/etc/nginx/conf.d
-      - ./ssl:/etc/nginx/ssl
-      - ./snippets:/etc/nginx/snippets
-      - nginx_cache:/var/cache/nginx
-      - nginx_logs:/var/log/nginx
-      - ./certbot/conf:/etc/letsencrypt
-      - ./certbot/www:/var/www/certbot
-    extra_hosts:
-      - "host.docker.internal:host-gateway"
-      - "server-254:10.10.253.254"
-      - "gitea-server:10.10.253.128"
-      - "srvproxy001.itguys.com.br:172.16.254.1"
-      - "srvproxy001:172.16.254.1"
-      - "git.itguys.com.br:10.10.253.128"
-      - "git:10.10.253.128"
-      - "zammad.itguys.com.br:172.16.254.59"
-      - "zammad:172.16.254.59"
-      - "cloud.grupopralog.com.br:172.16.253.12"
-      - "business.itguys.com.br:172.16.121.13"
-      - "verbocloud.itguys.com.br:172.16.253.13"
-      - "srvoffice001.itguys.com.br:172.16.253.101"
-      - "srvoffice001:172.16.253.101"
-
-  # ============================================
-  # Fail2ban (Lê logs e bane IPs)
-  # ============================================
-  fail2ban:
-    image: crazymax/fail2ban:latest
-    container_name: fail2ban
-    restart: always
-    network_mode: host
-    cap_add:
-      - NET_ADMIN
-      - NET_RAW
-    volumes:
-      - ./fail2ban:/data
-      - nginx_logs:/var/log/nginx:ro
-      - modsec_logs:/var/log/modsecurity:ro
-
-volumes:
-  nginx_cache:
-  nginx_logs:
-  modsec_logs: