BsdSul - Grupo de Usuários de FreeBSD do Sul do Brasil

Um dos grandes problemas que os usuários enfrentam, principalmente quando estão utilizando o NGINX para Proxy Reverso, é a conexão fechada pelo browser Safari, quando tenta negociar a conexão via HTTPS, usando o SSL. A solução é simples, basta adicionar parâmetros adicionais após cada location, permitindo assim, que o navegador da Apple, reconheça o caminho do site e das URLs, de forma correta.

    ` `
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-Server $host;
    proxy_buffering off;
    proxy_read_timeout 3600s;
    proxy_send_timeout 3600s;
    proxy_hide_header Upgrade;
    proxy_hide_header X-Powered-By;
    add_header Content-Security-Policy "upgrade-insecure-requests";
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header Cache-Control "no-transform" always;
    add_header Referrer-Policy no-referrer always;
    add_header X-Robots-Tag none;

  Um dos grandes problemas atuais do FreeBSD, é a falta de suporte a drivers nativos de placas wi-fi para o sistema, o que desmotiva muitos usuários que muitas vezes, não possuem uma conexão cabeada ou pretendem viver a experiência BSD com um notebook, muitas vezes em dual-boot.
  Uma das alternativas, é usar um celular (sim, isso mesmo), que suporte o thetering via ethernet, desde que você utilize um conversor USB-C to USB 3.0 (como os da ugreen) e depois, use um conversor USB to ethernet, um bom modelo é o UHL-300, da Exbom. 

  Basta plugar os dois conversores um no outro, plugar no celular e na saída ethernet, ligar no seu hardware. Dessa forma,  será possível utilizar tanto a conexão via chip de celular, como a conexão wi-fi, pois tanto o Android quanto o iOS, permitem este tipo de compartilhamento.

  O investimento, não é caro e agrega uma opção viável, usando seu próprio smartphone e ainda pode servir como adaptador para uma conexão cabeada backup, caso você utilize o FreeBSD como servidor e com o pf, defina  o balanceamento de links.

Para quem precisa de um ipv6 fixo, sem custos, atrás de uma rede de ip dinâmico, o tunnelbroker da he.net é uma excelente opção. Mas aqui, contamos alguns segredinhos simples que permitem a liberação rápida das portas. Aproveite e confira, pois é o primeiro post do nosso fórum, para a troca de interações.

https://bsdsul.com.br/forum/public/d/1-liberando-smtp-e-outras-portas-no-pfsense-freebsd-e-linux-para-o-tunnelbroker

No atual cenário dos dias de hoje, é indispensável automatizar algumas tarefas ,dentre elas, a não necessidade de gerar o certificado ssl por mais de duas vezes. Porém, se o Nginx utiliza um certificado compartilhado, é indispensável obter o certificado intermediário (caso seja um .crt). Uma sugestão é montar um volume compartilhado (preferencialmente em NFS) e manter a leitura tanto por parte do NGINX como do servidor web original, que gera automaticamente estas chaves, em sincronia. Mas, para gerar o certificado SSL compartilhado, é possível ter um script similar a este:

Imagine que o servidor A, que possui o NGINX, lê as informações via NFS do servidor B, na pasta /mnt/certificados. Desta forma, um script que concatenará o certificado intermediário ,para a correta utilização do NGINX, fará o seguinte:

#!/bin/bash

CERT_DIR="/mnt/certificados"

OUTPUT_DIR="/mnt/certificados/concatenados"

mkdir -p "$OUTPUT_DIR"

DOMAINS=( "bsdsul.com.br" )

for DOMAIN in "${DOMAINS[@]}"; do

CERT_FILE="$CERT_DIR/$DOMAIN.crt"
KEY_FILE="$CERT_DIR/$DOMAIN.key"
ISSUER_FILE="$CERT_DIR/$DOMAIN.issuer.crt"


if [[ -f "$CERT_FILE" && -f "$KEY_FILE" && -f "$ISSUER_FILE" ]]; then
  
    OUTPUT_FILE="$OUTPUT_DIR/$DOMAIN.fullchain.pem"

  
    cat "$CERT_FILE" "$ISSUER_FILE" > "$OUTPUT_FILE"

    echo "Concatenado: $OUTPUT_FILE"
else
    echo "Arquivos não encontrados para o domínio: $DOMAIN"
fi

done

Desta forma, o NGINX pode ter o seu arquivo de configuração de proxy reverso ,da seguinte forma:

server { listen 80; server_name bsdsul.com.br www.bsdsul.com.br; return 301 https://$host$request_uri; }

server { listen 443 ssl http2; server_name bsdsul.com.br www.bsdsul.com.br;

ssl_certificate /mnt/certificados/concatenados/bsdsul.com.br.fullchain.pem;  
ssl_certificate_key /mnt/certificados/bsdsul.com.br.key;

location / {
    proxy_pass http://192.168.x.x; 
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;

    proxy_ssl_server_name on;
}

}

Lembrando que o NGINX funciona muito bem em Linux e FreeBSD e há uma perceptível melhora de desempenho se utilizado com FreeBSD.

O BsdSul, foi uma referência entre 2005 a 2013, em materiais úteis para usuários de FreeBSD e até mesmo outras distribuições *BSD. Além disso, o estado de arte de como é montado o sistema operacional, permite o entendimento de outros sistemas, como o Linux. Dessa forma, a reativação do BSDSul, é uma realidade e esperamos ter muitos materiais para que o FreeBSD possa ser para você, o que ele é desde o nascimento: um sistema robusto, estável e principalmente, confiável para suas aplicações e uso.

Bem vindo!

Mauro Paes Corrêa

Fundador - BsdSul https://www.bsdsul.com.br