]> git.openstreetmap.org Git - chef.git/blob - cookbooks/tilecache/templates/default/nginx_tile.conf.erb
nginx: enable TLS 1.3
[chef.git] / cookbooks / tilecache / templates / default / nginx_tile.conf.erb
1 # DO NOT EDIT - This file is being maintained by Chef
2
3 upstream tile_cache_backend {
4   server 127.0.0.1;
5
6   # Add the other caches to relieve pressure if local squid failing
7   # Balancer: round-robin
8 <% @caches.each do |cache| -%>
9 <% if cache[:hostname] != node[:hostname] -%>
10 <% if node[:tilecache][:tile_siblings].include? cache[:fqdn] -%>
11 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
12   server <%= address %> backup; # Server <%= cache[:hostname] %>
13 <% end -%>
14 <% end -%>
15 <% end -%>
16 <% end -%>
17
18   keepalive 256;
19 }
20
21 # Geo Map of tile caches
22 geo $tile_cache {
23   default 0;
24 <% @caches.each do |cache| -%>
25 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
26   <%= address %> 1; # <%= cache[:hostname] %>
27 <% end -%>
28 <% end -%>
29 }
30
31 # Rates table based on current cookie value
32 map $cookie__osm_totp_token $limit_rate_qos {
33   include /etc/nginx/conf.d/tile_qos_rates.map;
34 }
35
36 # Set-Cookie table based on current cookie value
37 map $cookie__osm_totp_token $cookie_qos_token_set {
38   include /etc/nginx/conf.d/tile_qos_cookies.map;
39 }
40
41 map $http_user_agent $approved_scraper {
42   default                   0; # Not approved
43   '~^JOSM\/'                1; # JOSM
44   '~^Mozilla\/5\.0\ QGIS\/' 1; # QGIS
45 }
46
47 map $http_user_agent $denied_scraper {
48   default                0; # Not denied
49   ''                     1; # No User-Agent Set
50   '~^Python\-urllib\/'   1; # Library Default
51   '~^python\-requests\/' 1; # Library Default
52   '~^node\-fetch\/'      1; # Library Default
53   '~^R$'                 1; # Library Default
54   '~^Java\/'             1; # Library Default
55   '~^tiles$'             1; # Library Default
56   '~^runtastic'          1; # App
57   'Mozilla/4.0'          1; # Fake
58   'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)' 1;  # Fake
59 }
60
61 map $http_referer $denied_referer {
62   default                          0; # Not denied
63   'http://www.openstreetmap.org/'  1; # Faked
64   'http://www.openstreetmap.org'   1; # Faked
65   'http://openstreetmap.org/'      1; # Faked
66   'http://openstreetmap.org'       1; # Faked
67   'http://www.osm.org/'            1; # Faked
68   'http://www.osm.org'             1; # Faked
69   'http://osm.org/'                1; # Faked
70   'http://osm.org'                 1; # Faked
71 }
72
73 # Limit Cache-Control header to only approved User-Agents
74 map $http_user_agent $limit_http_cache_control {
75   default '';                              # Unset Header
76   '~^Mozilla\/5\.0\ QGIS\/' '';            # Unset Header
77   '~^Mozilla\/5\.0\ ' $http_cache_control; # Pass Header
78 }
79
80 # Limit Pragma header to only approved User-Agents
81 map $http_user_agent $limit_http_pragma {
82   default '';                       # Unset Header
83   '~^Mozilla\/5\.0\ QGIS\/' '';     # Unset Header
84   '~^Mozilla\/5\.0\ ' $http_pragma; # Pass Header
85 }
86
87 server {
88     listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
89     server_name  localhost;
90
91     proxy_buffers 8 64k;
92
93     ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
94     ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
95
96     # Requests sent within early data are subject to replay attacks.
97     # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
98     ssl_early_data on;
99
100     # Immediately 404 layers we do not support
101 <% for i in 20..99 do %>
102     location /<%= i %>/ {
103       set $limit_rate 512;
104       return 404;
105     }
106 <% end %>
107
108     # Immediately 404 silly tile requests
109     location = /0/0/-1.png {
110       set $limit_rate 512;
111       return 404;
112     }
113     location = /1/0/-1.png {
114       set $limit_rate 512;
115       return 404;
116     }
117     location = /1/-1/0.png {
118       set $limit_rate 512;
119       return 404;
120     }
121     location = /1/-1/1.png {
122       set $limit_rate 512;
123       return 404;
124     }
125     location = /1/-1/-1.png {
126       set $limit_rate 512;
127       return 404;
128     }
129     location = /1/-1/2.png {
130       set $limit_rate 512;
131       return 404;
132     }
133     location = /1/1/-1.png {
134       set $limit_rate 512;
135       return 404;
136     }
137     location = /1/2/-1.png {
138       set $limit_rate 512;
139       return 404;
140     }
141     location = /2/0/-1.png {
142       set $limit_rate 512;
143       return 404;
144     }
145     location = /2/-1/0.png {
146       set $limit_rate 512;
147       return 404;
148     }
149     location = /2/-1/1.png {
150       set $limit_rate 512;
151       return 404;
152     }
153     location = /2/1/-1.png {
154       set $limit_rate 512;
155       return 404;
156     }
157     location = /2/-1/2.png {
158       set $limit_rate 512;
159       return 404;
160     }
161     location = /2/-1/3.png {
162       set $limit_rate 512;
163       return 404;
164     }
165
166     location / {
167       proxy_pass http://tile_cache_backend;
168       proxy_set_header X-Forwarded-For $remote_addr;
169       proxy_http_version 1.1;
170       proxy_set_header Connection '';
171
172       proxy_connect_timeout 5s;
173
174       # Preserve host header.
175       proxy_set_header Host $host;
176       # Do not pass cookies to backends.
177       proxy_set_header Cookie '';
178       # Do not pass Accept-Encoding to backends.
179       proxy_set_header Accept-Encoding '';
180
181       # Do not allow setting cookies from backends due to caching.
182       proxy_ignore_headers Set-Cookie;
183       proxy_hide_header Set-Cookie;
184
185       # Set a QoS cookie if none presented (uses nginx Map)
186       add_header Set-Cookie $cookie_qos_token_set;
187 <% if node[:ssl][:strict_transport_security] -%>
188       # Ensure Strict-Transport-Security header is removed from proxied server responses
189       proxy_hide_header Strict-Transport-Security;
190
191       # Enable HSTS
192       add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
193 <% end -%>
194
195       # QoS Traffic Rate see $limit_rate on http://nginx.org/en/docs/http/ngx_http_core_module.html
196       set $limit_rate $limit_rate_qos;
197
198       # Allow Higher Traffic Rate from Approved User-Agents which do not support cookies (uses nginx Map)
199       if ($approved_scraper) {
200         set $limit_rate 65536;
201       }
202
203       if ($denied_scraper) {
204         set $limit_rate 512;
205         return 429;
206       }
207       if ($denied_referer) {
208         set $limit_rate 512;
209         return 418;
210       }
211
212       # Strip any ?query parameters from urls
213       set $args '';
214
215       # Allow cache purging headers only from select User-Agents (uses nginx Map)
216       proxy_set_header Cache-Control $limit_http_cache_control;
217       proxy_set_header Pragma $limit_http_pragma;
218     }
219 }