]> git.openstreetmap.org Git - chef.git/blob - cookbooks/tilecache/templates/default/nginx_tile.conf.erb
Search rank for new namespace
[chef.git] / cookbooks / tilecache / templates / default / nginx_tile.conf.erb
1 # DO NOT EDIT - This file is being maintained by Chef
2
3 upstream tile_cache_backend {
4   server 127.0.0.1;
5
6   # Add the other caches to relieve pressure if local squid failing
7   # Balancer: round-robin
8 <% @caches.each do |cache| -%>
9 <% if cache[:hostname] != node[:hostname] -%>
10 <% if node[:tilecache][:tile_siblings].include? cache[:fqdn] -%>
11 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
12   server <%= address %> backup; # Server <%= cache[:hostname] %>
13 <% end -%>
14 <% end -%>
15 <% end -%>
16 <% end -%>
17
18   keepalive 1024;
19   keepalive_requests 1024;
20 }
21
22 # Geo Map of tile caches
23 geo $tile_cache {
24   default 0;
25 <% @caches.each do |cache| -%>
26 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
27   <%= address %> 1; # <%= cache[:hostname] %>
28 <% end -%>
29 <% end -%>
30 }
31
32 # Rates table based on current cookie value
33 map $cookie__osm_totp_token $limit_rate_qos {
34   include /etc/nginx/conf.d/tile_qos_rates.map;
35 }
36
37 # Set-Cookie table based on current cookie value
38 map $cookie__osm_totp_token $cookie_qos_token_set {
39   include /etc/nginx/conf.d/tile_qos_cookies.map;
40 }
41
42 map $http_user_agent $approved_scraper {
43   default                   0; # Not approved
44   '~^JOSM\/'                1; # JOSM
45   '~^Mozilla\/5\.0\ QGIS\/' 1; # QGIS
46 }
47
48 map $http_user_agent $denied_scraper {
49   default                0; # Not denied
50   ''                     1; # No User-Agent Set
51   '~^Python\-urllib\/'   1; # Library Default
52   '~^python\-requests\/' 1; # Library Default
53   '~^node\-fetch\/'      1; # Library Default
54   '~^R$'                 1; # Library Default
55   '~^Java\/'             1; # Library Default
56   '~^tiles$'             1; # Library Default
57   '~^runtastic'          1; # App
58   'Mozilla/4.0'          1; # Fake
59   'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)' 1;  # Fake
60 }
61
62 map $http_referer $denied_referer {
63   default                          0; # Not denied
64   'http://www.openstreetmap.org/'  1; # Faked
65   'http://www.openstreetmap.org'   1; # Faked
66   'http://openstreetmap.org/'      1; # Faked
67   'http://openstreetmap.org'       1; # Faked
68   'http://www.osm.org/'            1; # Faked
69   'http://www.osm.org'             1; # Faked
70   'http://osm.org/'                1; # Faked
71   'http://osm.org'                 1; # Faked
72 }
73
74 # Limit Cache-Control header to only approved User-Agents
75 map $http_user_agent $limit_http_cache_control {
76   default '';                              # Unset Header
77   '~^Mozilla\/5\.0\ QGIS\/' '';            # Unset Header
78   '~^Mozilla\/5\.0\ ' $http_cache_control; # Pass Header
79 }
80
81 # Limit Pragma header to only approved User-Agents
82 map $http_user_agent $limit_http_pragma {
83   default '';                       # Unset Header
84   '~^Mozilla\/5\.0\ QGIS\/' '';     # Unset Header
85   '~^Mozilla\/5\.0\ ' $http_pragma; # Pass Header
86 }
87
88 server {
89     listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
90     server_name  localhost;
91
92     proxy_buffers 8 64k;
93
94     ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
95     ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
96
97     # Requests sent within early data are subject to replay attacks.
98     # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
99     ssl_early_data on;
100
101     # Immediately 404 layers we do not support
102 <% for i in 20..99 do %>
103     location /<%= i %>/ {
104       set $limit_rate 512;
105       return 404;
106     }
107 <% end %>
108
109     # Immediately 404 silly tile requests
110     location = /0/0/-1.png {
111       set $limit_rate 512;
112       return 404;
113     }
114     location = /1/0/-1.png {
115       set $limit_rate 512;
116       return 404;
117     }
118     location = /1/-1/0.png {
119       set $limit_rate 512;
120       return 404;
121     }
122     location = /1/-1/1.png {
123       set $limit_rate 512;
124       return 404;
125     }
126     location = /1/-1/-1.png {
127       set $limit_rate 512;
128       return 404;
129     }
130     location = /1/-1/2.png {
131       set $limit_rate 512;
132       return 404;
133     }
134     location = /1/1/-1.png {
135       set $limit_rate 512;
136       return 404;
137     }
138     location = /1/2/-1.png {
139       set $limit_rate 512;
140       return 404;
141     }
142     location = /2/0/-1.png {
143       set $limit_rate 512;
144       return 404;
145     }
146     location = /2/-1/0.png {
147       set $limit_rate 512;
148       return 404;
149     }
150     location = /2/-1/1.png {
151       set $limit_rate 512;
152       return 404;
153     }
154     location = /2/1/-1.png {
155       set $limit_rate 512;
156       return 404;
157     }
158     location = /2/-1/2.png {
159       set $limit_rate 512;
160       return 404;
161     }
162     location = /2/-1/3.png {
163       set $limit_rate 512;
164       return 404;
165     }
166
167     location / {
168       proxy_pass http://tile_cache_backend;
169       proxy_set_header X-Forwarded-For $remote_addr;
170       proxy_http_version 1.1;
171       proxy_set_header Connection '';
172
173       proxy_connect_timeout 5s;
174
175       # Preserve host header.
176       proxy_set_header Host $host;
177       # Do not pass cookies to backends.
178       proxy_set_header Cookie '';
179       # Do not pass Accept-Encoding to backends.
180       proxy_set_header Accept-Encoding '';
181
182       # Do not allow setting cookies from backends due to caching.
183       proxy_ignore_headers Set-Cookie;
184       proxy_hide_header Set-Cookie;
185
186       # Set a QoS cookie if none presented (uses nginx Map)
187       add_header Set-Cookie $cookie_qos_token_set;
188 <% if node[:ssl][:strict_transport_security] -%>
189       # Ensure Strict-Transport-Security header is removed from proxied server responses
190       proxy_hide_header Strict-Transport-Security;
191
192       # Enable HSTS
193       add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
194 <% end -%>
195
196       # QoS Traffic Rate see $limit_rate on http://nginx.org/en/docs/http/ngx_http_core_module.html
197       set $limit_rate $limit_rate_qos;
198
199       # Allow Higher Traffic Rate from Approved User-Agents which do not support cookies (uses nginx Map)
200       if ($approved_scraper) {
201         set $limit_rate 65536;
202       }
203
204       if ($denied_scraper) {
205         set $limit_rate 512;
206         return 429;
207       }
208       if ($denied_referer) {
209         set $limit_rate 512;
210         return 418;
211       }
212
213       # Strip any ?query parameters from urls
214       set $args '';
215
216       # Allow cache purging headers only from select User-Agents (uses nginx Map)
217       proxy_set_header Cache-Control $limit_http_cache_control;
218       proxy_set_header Pragma $limit_http_pragma;
219     }
220 }