cookbooks/nominatim/templates/default/nginx.erb

   1 map $uri $nominatim_script_name {
   2     ~^(.+?\.php)         $1;
   3     ~^/([^/]+)           $1.php;
   4     ^$                   search.php;
   5 }
   6
   7 map $uri $nominatim_path_info {
   8     ~^/([^/]+)(.*)$      $2;
   9 }
  10
  11 map $query_string $email_id {
  12     ~(^|&)email=([^&]+)  $2;
  13 }
  14
  15 upstream nominatim_service {
  16   server 127.0.0.1:<%= @pools[:www][:port ]%>;
  17 }
  18
  19 # Whitelisted IPs
  20 geo $whitelisted {
  21     default 0;
  22 <% @frontends.each do |frontend| -%>
  23 <% frontend.ipaddresses(:role => :external) do |address| -%>
  24     <%= address %>;
  25 <% end -%>
  26 <% end -%>
  27     46.235.224.148 1;
  28     209.132.180.180 1;
  29     209.132.180.168 1;
  30     8.43.85.23 1; # gnome
  31 }
  32
  33 map $http_user_agent $blocked_user_agent {
  34    default 0;
  35    include <%= @confdir %>/nginx_blocked_user_agent.conf;
  36 }
  37
  38 map $http_referer $blocked_referrer {
  39    default 0;
  40    include <%= @confdir %>/nginx_blocked_referrer.conf;
  41 }
  42
  43 map $whitelisted $limit_www {
  44     1 "";
  45     0 $binary_remote_addr;
  46 }
  47
  48 map $blocked_user_agent $limit_tarpit {
  49     0 "";
  50     1 $binary_remote_addr;
  51     2 $binary_remote_addr;
  52 }
  53
  54 limit_req_zone $limit_www zone=www:50m rate=2r/s;
  55 limit_req_zone $limit_tarpit zone=tarpit:10m rate=1r/s;
  56 limit_req_zone $binary_remote_addr zone=blocked:10m rate=20r/m;
  57
  58 server {
  59     # IPv4
  60     listen       80 deferred backlog=16384 reuseport fastopen=2048 default_server;
  61     listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
  62     # IPv6
  63     listen       [::]:80 deferred backlog=16384 reuseport fastopen=2048 default_server;
  64     listen       [::]:443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
  65     server_name  localhost;
  66
  67     ssl_certificate /etc/ssl/certs/<%= node[:fqdn] %>.pem;
  68     ssl_certificate_key /etc/ssl/private/<%= node[:fqdn] %>.key;
  69
  70     root <%= @directory %>/website;
  71     index search.php;
  72
  73     access_log <%= node[:nominatim][:logdir] %>/nominatim.openstreetmap.org-access.log combined;
  74     error_log <%= node[:nominatim][:logdir] %>/nominatim.openstreetmap.org-error.log;
  75
  76     location /nginx_status {
  77         stub_status on;
  78         access_log   off;
  79         allow 127.0.0.1;
  80         allow ::1;
  81         deny all;
  82     }
  83
  84     error_page 403 /403.html;
  85     location /403.html {
  86         limit_req zone=blocked burst=5;
  87     }
  88
  89     error_page 429 /509.html;
  90     location /509.html {
  91         limit_req zone=blocked burst=5;
  92     }
  93
  94     location / {
  95         set $anyid $http_referer$http_user_agent$email_id;
  96         if ($anyid = "")
  97         { return 403; }
  98         if ($blocked_user_agent ~ ^2$)
  99         { return 403; }
 100         if ($blocked_referrer)
 101         { return 403; }
 102
 103         try_files $uri $uri/ @php;
 104     }
 105
 106     location @php {
 107         limit_req zone=www burst=10;
 108         limit_req zone=tarpit burst=2;
 109         limit_req_status 429;
 110         fastcgi_pass nominatim_service;
 111         include fastcgi_params;
 112         fastcgi_param QUERY_STRING    $args;
 113         fastcgi_param PATH_INFO       "$nominatim_path_info";
 114         fastcgi_param SCRIPT_FILENAME  "$document_root/$nominatim_script_name";
 115     }
 116
 117     location ~* \.php$ {
 118         limit_req zone=www burst=10;
 119         limit_req zone=tarpit burst=2;
 120         limit_req_status 429;
 121         fastcgi_pass    nominatim_service;
 122         include         fastcgi_params;
 123         fastcgi_param   SCRIPT_FILENAME    $document_root$fastcgi_script_name;
 124     }
 125 }