Only allow access to export from known caches
[chef.git] / cookbooks / tile / templates / default / apache.erb
index 1ffa2323d278997acb302431563a25d17f096168..fbc781c90bf86714a39c2593f7ab496c09e16803 100644 (file)
@@ -4,6 +4,8 @@
   # Basic server configuration
   ServerName <%= node[:fqdn] %>
   ServerAlias tile.openstreetmap.org
+  ServerAlias render.openstreetmap.org
+  ServerAlias *.render.openstreetmap.org
   ServerAlias parent.tile.openstreetmap.org
   ServerAdmin webmaster@openstreetmap.org
 
 <% end -%>
 
   # Setup logging
-  CustomLog /var/log/apache2/access.log combined
+  LogFormat "%a %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined_with_remoteip
+  CustomLog /var/log/apache2/access.log combined_with_remoteip
   ErrorLog /var/log/apache2/error.log
   BufferedLogs on
 
+  # Always set Access-Control-Allow-Origin so that simple CORS requests
+  # will always work and can be cached
+  Header set Access-Control-Allow-Origin "*"
+
+  # Remove Proxy request header to mitigate https://httpoxy.org/
+  RequestHeader unset Proxy early
+
   # Enable the rewrite engine
   RewriteEngine on
 
   RewriteRule ^/(-?\d+)/(-?\d+)/(-?\d+)\.png$ /default/$1/$2/$3.png [PT,T=image/png,L]
   RewriteRule ^/(-?\d+)/(-?\d+)/(-?\d+)\.png/status/?$  /default/$1/$2/$3.png/status [PT,T=text/plain,L]
   RewriteRule ^/(-?\d+)/(-?\d+)/(-?\d+)\.png/dirty/?$   /default/$1/$2/$3.png/dirty  [PT,T=text/plain,L]
+
+  # Historical Files redirect
+  Redirect /processed_p.tar.bz2 http://planet.openstreetmap.org/historical-shapefiles/processed_p.tar.bz2
+  Redirect /shoreline_300.tar.bz2 http://planet.openstreetmap.org/historical-shapefiles/shoreline_300.tar.bz2
+  Redirect /world_boundaries-spherical.tgz http://planet.openstreetmap.org/historical-shapefiles/world_boundaries-spherical.tgz
 </VirtualHost>
 
 <Directory /srv/tile.openstreetmap.org/html>
   Options None
   AllowOverride None
-  Order allow,deny
-  Allow from all
+  Require all granted
 </Directory>
 
 <Directory /srv/tile.openstreetmap.org/cgi-bin>
   Options ExecCGI
   AllowOverride None
-  Order allow,deny
-  Allow from all
+  Require all granted
 </Directory>
+
+<Location /cgi-bin/export>
+<% @caches.each do |cache| -%>
+<% cache.ipaddresses(:role => :external).sort.each do |address| -%>
+  Require ip <%= address %>
+<% end -%>
+<% end -%>
+</Location>