cookbooks/nominatim/templates/default/nginx.erb

   1 upstream nominatim_service {
   2 <% if node[:nominatim][:api_flavour] == "php" %>
   3   server unix:/run/php/php-nominatim.openstreetmap.org-fpm.sock fail_timeout=0;
   4 <% elsif node[:nominatim][:api_flavour] == "python"  %>
   5   server unix:/run/gunicorn-nominatim.openstreetmap.org.sock fail_timeout=0;
   6 <% end -%>
   7 }
   8
   9 map $uri $nominatim_script_name {
  10     ~^/*(.+?)\.php        $1;
  11     ~^/*([^/]+)           $1;
  12     ^$                   search;
  13 }
  14
  15 map $uri $nominatim_path_info {
  16     ~^/([^/]+)(.*)$      $2;
  17 }
  18
  19 map $args $format {
  20     default                  default;
  21     ~(^|&)format=html(&|$)   html;
  22     ~(^|&)format=            other;
  23 }
  24
  25 map $uri/$format $forward_to_ui {
  26     default               1;
  27     ~^/ui                 0;
  28     ~/other$              0;
  29     ~/reverse.*/default   0;
  30     ~/lookup.*/default    0;
  31     ~/status.*/default    0;
  32 }
  33
  34 map $query_string $email_id {
  35     ~(^|&)email=([^&]+)  $2;
  36 }
  37
  38 map $email_id $missing_email {
  39     default "";
  40     "" 1;
  41 }
  42
  43 map $http_user_agent $missing_ua {
  44     default "";
  45     "" 1;
  46 }
  47
  48 map $http_referer $missing_referer {
  49     default "";
  50     "" 1;
  51 }
  52
  53 # Whitelisted IPs
  54 geo $whitelisted {
  55     default 0;
  56 <% @frontends.each do |frontend| -%>
  57 <% frontend.ipaddresses(:role => :external).sort.each do |address| -%>
  58     <%= address %> 1;
  59 <% end -%>
  60 <% end -%>
  61     46.235.224.148 1;
  62     209.132.180.180 1;
  63     209.132.180.168 1;
  64     8.43.85.3 1; # gnome
  65     8.43.85.4 1; # gnome
  66     8.43.85.5 1; # gnome
  67     2620:52:3:1:5054:ff:fe0a:75a4 1; # gnome
  68     2620:52:3:1:5054:ff:fe0a:75a2 1; # gnome
  69     2620:52:3:1:5054:ff:fe0a:75aa 1; # gnome
  70 }
  71
  72 map $missing_email$missing_referer$http_user_agent $blocked_user_agent {
  73    default 0;
  74    "11" 2; # block any requests without identifier
  75    include <%= @confdir %>/nginx_blocked_user_agent.conf;
  76 }
  77
  78 map $missing_email$missing_ua$http_referer $blocked_referrer {
  79    default 0;
  80    include <%= @confdir %>/nginx_blocked_referrer.conf;
  81 }
  82
  83 map $missing_referer$missing_ua$email_id $blocked_email {
  84    default 0;
  85    include <%= @confdir %>/nginx_blocked_email.conf;
  86 }
  87
  88 map $whitelisted $limit_www {
  89     1 "";
  90     0 $binary_remote_addr;
  91 }
  92
  93 map $blocked_user_agent $limit_tarpit {
  94     0 "";
  95     1 $binary_remote_addr;
  96     2 $binary_remote_addr;
  97 }
  98
  99 map $missing_email$missing_referer$http_user_agent $generic_mozilla {
 100     default 0;
 101     ~^11Mozilla/4.0 1;
 102     ~^11Mozilla/5.0 2;
 103 }
 104
 105 map $whitelisted$generic_mozilla$uri $limit_reverse {
 106     default "";
 107     ~01/reverse.*  $binary_remote_addr;
 108     ~02/reverse.*  $binary_remote_addr;
 109 }
 110
 111 limit_req_zone $limit_www zone=www:50m rate=2r/s;
 112 limit_req_zone $limit_tarpit zone=tarpit:10m rate=1r/s;
 113 limit_req_zone $binary_remote_addr zone=blocked:10m rate=20r/m;
 114 limit_req_zone $limit_reverse zone=reverse:10m rate=10r/m;
 115
 116 server {
 117     listen 80 default_server;
 118     listen [::]:80 default_server;
 119
 120     access_log <%= node[:nominatim][:logdir] %>/nominatim.openstreetmap.org-access.log combined;
 121     error_log <%= node[:nominatim][:logdir] %>/nominatim.openstreetmap.org-error.log;
 122
 123     location /nginx_status {
 124         stub_status on;
 125         access_log   off;
 126         allow 127.0.0.1;
 127         allow ::1;
 128         deny all;
 129     }
 130
 131      rewrite ^/\.well-known/acme-challenge/(.*)$ http://acme.openstreetmap.org/.well-known/acme-challenge/$1 permanent;
 132
 133      location / {
 134          return 301 https://$host$request_uri;
 135      }
 136 }
 137
 138 server {
 139     # IPv4
 140     listen       443 ssl http2 default_server;
 141     # IPv6
 142     listen       [::]:443 ssl http2 default_server;
 143     server_name  localhost;
 144
 145     ssl_certificate /etc/ssl/certs/<%= node[:fqdn] %>.pem;
 146     ssl_certificate_key /etc/ssl/private/<%= node[:fqdn] %>.key;
 147
 148     root <%= @directory %>/static-website;
 149     index /search;
 150
 151     access_log <%= node[:nominatim][:logdir] %>/nominatim.openstreetmap.org-access.log combined;
 152     error_log <%= node[:nominatim][:logdir] %>/nominatim.openstreetmap.org-error.log;
 153
 154     location /nginx_status {
 155         stub_status on;
 156         access_log   off;
 157         allow 127.0.0.1;
 158         allow ::1;
 159         deny all;
 160     }
 161
 162     error_page 403 /403.html;
 163     location /403.html {
 164         limit_req zone=blocked burst=5;
 165     }
 166
 167     error_page 429 /509.html;
 168     location /509.html {
 169         limit_req zone=blocked burst=5;
 170     }
 171
 172     location / {
 173         try_files $uri $uri/ @php;
 174     }
 175
 176     location /ui/ {
 177         alias <%= @ui_directory %>/dist/;
 178         index search.html;
 179     }
 180
 181     location /qa-data/ {
 182         add_header Access-Control-Allow-Origin "*" always;
 183     }
 184
 185     location ~* ^/(search|reverse)(\.php)?/ {
 186         error_page 404 /404-old-search-syntax.html;
 187         return 404;
 188     }
 189
 190     location @php {
 191         if ($forward_to_ui) {
 192             rewrite ^(/[^/]*) https://$host/ui$1.html redirect;
 193         }
 194         if ($blocked_user_agent ~ ^2$)
 195         { return 403; }
 196         if ($blocked_referrer)
 197         { return 403; }
 198         if ($blocked_email)
 199         { return 403; }
 200         if ($args ~* "q=[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+[ &]")
 201         { return 418; }
 202         include <%= @confdir %>/nginx_blocked_generic.conf;
 203
 204         limit_req zone=www burst=10;
 205         limit_req zone=tarpit burst=5;
 206         limit_req zone=reverse burst=5;
 207         limit_req_status 429;
 208 <% if node[:nominatim][:api_flavour] == "php" %>
 209         fastcgi_pass nominatim_service;
 210         include fastcgi_params;
 211         fastcgi_param QUERY_STRING    $args;
 212         fastcgi_param PATH_INFO       "$nominatim_path_info";
 213         fastcgi_param SCRIPT_FILENAME  "<%= @directory %>/website/$nominatim_script_name";
 214 <% elsif node[:nominatim][:api_flavour] == "python" %>
 215
 216         if ($request_method = 'OPTIONS') {
 217           add_header 'Content-Type' 'text/plain; charset=UTF-8';
 218           add_header 'Content-Length' 0;
 219           add_header Access-Control-Allow-Origin "*";
 220           add_header Access-Control-Allow-Methods 'GET,OPTIONS';
 221           add_header Access-Control-Allow-Headers $http_access_control_request_headers;
 222           return 204;
 223         }
 224
 225         proxy_set_header Host $http_host;
 226         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 227         proxy_set_header X-Forwarded-Proto $scheme;
 228         proxy_redirect off;
 229         proxy_pass http://nominatim_service;
 230 <% end -%>
 231     }
 232
 233 <% if node[:nominatim][:api_flavour] == "php" %>
 234     location ~* \.php$ {
 235         if ($blocked_user_agent ~ ^2$)
 236         { return 403; }
 237         if ($blocked_referrer)
 238         { return 403; }
 239         if ($blocked_email)
 240         { return 403; }
 241         include <%= @confdir %>/nginx_blocked_generic.conf;
 242
 243         limit_req zone=www burst=10;
 244         limit_req zone=tarpit burst=2;
 245         limit_req zone=reverse burst=5;
 246         limit_req_status 429;
 247         fastcgi_pass    nominatim_service;
 248         include         fastcgi_params;
 249         fastcgi_param   SCRIPT_FILENAME    <%= @directory %>/website/$fastcgi_script_name;
 250
 251         if ($forward_to_ui) {
 252             rewrite (.*).php https://$host/ui$1.html redirect;
 253         }
 254     }
 255 <% end -%>
 256 }