133 lines
4.9 KiB
Plaintext
133 lines
4.9 KiB
Plaintext
# ==============================================================================
|
|
# Configuração para VS Code Server - vscode.itguys.com.br
|
|
#
|
|
# Data da Alteração: 2025-10-20
|
|
# Contexto: Configuração de proxy reverso para múltiplas instâncias do
|
|
# VS Code Server (code-server) em portas diferentes.
|
|
# *** ATUALIZAÇÃO: Removido bloqueio de bots e adicionado filtro de
|
|
# acesso restrito por IP para uso em rede interna. ***
|
|
#
|
|
# Features:
|
|
# - Acesso restrito por IP (redes internas)
|
|
# - Redirecionamento HTTP -> HTTPS
|
|
# - SSL/TLS seguro (TLS 1.2, 1.3) com HTTP/2
|
|
# - Headers de segurança (HSTS, CSP, X-Frame-Options)
|
|
# - Suporte total a WebSockets (essencial para VS Code)
|
|
# - Logs de acesso e erro dedicados
|
|
# - Compressão Gzip
|
|
# ==============================================================================
|
|
|
|
# --- SERVIDOR HTTP (Redirecionamento para HTTPS) ---
|
|
server {
|
|
if ($host = vscode.itguys.com.br) {
|
|
return 301 https://$host$request_uri;
|
|
} # managed by Certbot
|
|
|
|
|
|
listen 80;
|
|
server_name vscode.itguys.com.br;
|
|
|
|
# Logs para o redirecionamento
|
|
access_log /var/log/nginx/vscode.itguys.com.br.access.log;
|
|
error_log /var/log/nginx/vscode.itguys.com.br.error.log;
|
|
|
|
# Acesso restrito também aplicado ao redirecionamento
|
|
allow 10.10.253.0/24;
|
|
allow 10.11.0.0/24;
|
|
allow 172.16.0.0/16;
|
|
deny all;
|
|
|
|
# Redireciona permanentemente todo o tráfego HTTP para HTTPS
|
|
return 301 https://$host$request_uri;
|
|
|
|
|
|
}
|
|
|
|
# --- SERVIDOR HTTPS (Configuração Principal) ---
|
|
server {
|
|
listen 443 ssl http2;
|
|
server_name vscode.itguys.com.br;
|
|
|
|
# Segurança
|
|
# Caminhos para seus certificados SSL (substitua pelos caminhos corretos)
|
|
#ssl_certificate /etc/letsencrypt/live/vscode.itguys.com.br/fullchain.pem;
|
|
#ssl_certificate_key /etc/letsencrypt/live/vscode.itguys.com.br/privkey.pem;
|
|
|
|
# Configurações de SSL/TLS (baseado em boas práticas)
|
|
ssl_protocols TLSv1.2 TLSv1.3;
|
|
ssl_prefer_server_ciphers on;
|
|
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
|
|
ssl_session_timeout 1d;
|
|
ssl_session_tickets off;
|
|
ssl_stapling on;
|
|
ssl_stapling_verify on;
|
|
|
|
# Logs
|
|
access_log /var/log/nginx/vscode.itguys.com.br.access.log detailed_proxy;
|
|
error_log /var/log/nginx/vscode.itguys.com.br.error.log warn;
|
|
|
|
# Acesso Restrito
|
|
# Permite o acesso apenas a partir das redes internas especificadas.
|
|
allow 10.10.253.0/24;
|
|
allow 10.11.0.0/24;
|
|
allow 172.16.0.0/16;
|
|
deny all;
|
|
|
|
# Headers de Segurança
|
|
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
|
|
add_header X-Frame-Options "SAMEORIGIN" always;
|
|
add_header X-Content-Type-Options "nosniff" always;
|
|
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
|
|
#add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; font-src 'self'; object-src 'none'; frame-ancestors 'none'; connect-src 'self' wss:;" always;
|
|
|
|
# Raiz do servidor (opcional)
|
|
root /var/www/html;
|
|
|
|
# Otimizações
|
|
gzip on;
|
|
gzip_vary on;
|
|
gzip_proxied any;
|
|
gzip_comp_level 6;
|
|
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
|
|
|
|
# Roteamento por Usuário (Proxy Reverso)
|
|
|
|
# Rota para o Usuário 1 -> Porta 8081
|
|
location /vitoria/ {
|
|
proxy_pass http://10.10.253.161:8081/;
|
|
proxy_set_header Host $host;
|
|
proxy_set_header X-Real-IP $remote_addr;
|
|
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
|
proxy_set_header X-Forwarded-Proto $scheme;
|
|
|
|
# Configurações para WebSockets (CRÍTICO para VS Code)
|
|
proxy_http_version 1.1;
|
|
proxy_set_header Upgrade $http_upgrade;
|
|
proxy_set_header Connection "upgrade";
|
|
proxy_read_timeout 86400;
|
|
}
|
|
|
|
# Rota para o Usuário 2 -> Porta 8082
|
|
location /daivid/ {
|
|
proxy_pass http://10.10.253.161:8082/;
|
|
proxy_set_header Host $host;
|
|
proxy_set_header X-Real-IP $remote_addr;
|
|
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
|
proxy_set_header X-Forwarded-Proto $scheme;
|
|
|
|
# Configurações para WebSockets (CRÍTICO para VS Code)
|
|
proxy_http_version 1.1;
|
|
proxy_set_header Upgrade $http_upgrade;
|
|
proxy_set_header Connection "upgrade";
|
|
proxy_read_timeout 86400;
|
|
}
|
|
|
|
# Bloqueia o acesso à raiz do domínio
|
|
location = / {
|
|
return 403; # Forbidden
|
|
}
|
|
|
|
ssl_certificate /etc/letsencrypt/live/vscode.itguys.com.br/fullchain.pem; # managed by Certbot
|
|
ssl_certificate_key /etc/letsencrypt/live/vscode.itguys.com.br/privkey.pem; # managed by Certbot
|
|
}
|