cookbooks/tilecache/templates/default/nginx_tile.conf.erb

   1 # DO NOT EDIT - This file is being maintained by Chef
   2
   3 upstream tile_cache_backend {
   4   server 127.0.0.1;
   5
   6   # Add the other caches to relieve pressure if local squid failing
   7   # Balancer: round-robin
   8 <% @caches.each do |cache| -%>
   9 <% if cache[:hostname] != node[:hostname] -%>
  10 <% if node[:tilecache][:tile_siblings].include? cache[:fqdn] -%>
  11 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
  12   server <%= address %> backup; # Server <%= cache[:hostname] %>
  13 <% end -%>
  14 <% end -%>
  15 <% end -%>
  16 <% end -%>
  17
  18   keepalive 256;
  19 }
  20
  21 # Geo Map of tile caches
  22 geo $tile_cache {
  23   default 0;
  24 <% @caches.each do |cache| -%>
  25 <% cache.ipaddresses(:family => :inet, :role => :external).sort.each do |address| -%>
  26   <%= address %> 1; # <%= cache[:hostname] %>
  27 <% end -%>
  28 <% end -%>
  29 }
  30
  31 # Rates table based on current cookie value
  32 map $cookie__osm_totp_token $limit_rate_qos {
  33   include /etc/nginx/conf.d/tile_qos_rates.map;
  34 }
  35
  36 # Set-Cookie table based on current cookie value
  37 map $cookie__osm_totp_token $cookie_qos_token_set {
  38   include /etc/nginx/conf.d/tile_qos_cookies.map;
  39 }
  40
  41 map $http_user_agent $approved_scraper {
  42   default                   0; # Not approved
  43   '~^JOSM\/'                1; # JOSM
  44   '~^Mozilla\/5\.0\ QGIS\/' 1; # QGIS
  45 }
  46
  47 map $http_user_agent $denied_scraper {
  48   default                0; # Not denied
  49   ''                     1; # No User-Agent Set
  50   '~^Python\-urllib\/'   1; # Library Default
  51   '~^python\-requests\/' 1; # Library Default
  52   '~^node\-fetch\/'      1; # Library Default
  53   '~^R$'                 1; # Library Default
  54   '~^Java\/'             1; # Library Default
  55   '~^tiles$'             1; # Library Default
  56   '~^runtastic'          1; # App
  57   'Mozilla/4.0'          1; # Fake
  58   'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)' 1;  # Fake
  59 }
  60
  61 map $http_referer $denied_referer {
  62   default                          0; # Not denied
  63   'http://www.openstreetmap.org/'  1; # Faked
  64   'http://www.openstreetmap.org'   1; # Faked
  65   'http://openstreetmap.org/'      1; # Faked
  66   'http://openstreetmap.org'       1; # Faked
  67   'http://www.osm.org/'            1; # Faked
  68   'http://www.osm.org'             1; # Faked
  69   'http://osm.org/'                1; # Faked
  70   'http://osm.org'                 1; # Faked
  71 }
  72
  73 # Limit Cache-Control header to only approved User-Agents
  74 map $http_user_agent $limit_http_cache_control {
  75   default '';                              # Unset Header
  76   '~^Mozilla\/5\.0\ QGIS\/' '';            # Unset Header
  77   '~^Mozilla\/5\.0\ ' $http_cache_control; # Pass Header
  78 }
  79
  80 # Limit Pragma header to only approved User-Agents
  81 map $http_user_agent $limit_http_pragma {
  82   default '';                       # Unset Header
  83   '~^Mozilla\/5\.0\ QGIS\/' '';     # Unset Header
  84   '~^Mozilla\/5\.0\ ' $http_pragma; # Pass Header
  85 }
  86
  87 server {
  88     listen       443 ssl deferred backlog=16384 reuseport fastopen=2048 http2 default_server;
  89     server_name  localhost;
  90
  91     proxy_buffers 8 64k;
  92
  93     ssl_certificate      /etc/ssl/certs/tile.openstreetmap.org.pem;
  94     ssl_certificate_key  /etc/ssl/private/tile.openstreetmap.org.key;
  95
  96     # Requests sent within early data are subject to replay attacks.
  97     # See: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_early_data
  98     ssl_early_data on;
  99
 100     # Immediately 404 layers we do not support
 101 <% for i in 20..99 do %>
 102     location /<%= i %>/ {
 103       set $limit_rate 512;
 104       return 404;
 105     }
 106 <% end %>
 107
 108     # Immediately 404 silly tile requests
 109     location = /0/0/-1.png {
 110       set $limit_rate 512;
 111       return 404;
 112     }
 113     location = /1/0/-1.png {
 114       set $limit_rate 512;
 115       return 404;
 116     }
 117     location = /1/-1/0.png {
 118       set $limit_rate 512;
 119       return 404;
 120     }
 121     location = /1/-1/1.png {
 122       set $limit_rate 512;
 123       return 404;
 124     }
 125     location = /1/-1/-1.png {
 126       set $limit_rate 512;
 127       return 404;
 128     }
 129     location = /1/-1/2.png {
 130       set $limit_rate 512;
 131       return 404;
 132     }
 133     location = /1/1/-1.png {
 134       set $limit_rate 512;
 135       return 404;
 136     }
 137     location = /1/2/-1.png {
 138       set $limit_rate 512;
 139       return 404;
 140     }
 141     location = /2/0/-1.png {
 142       set $limit_rate 512;
 143       return 404;
 144     }
 145     location = /2/-1/0.png {
 146       set $limit_rate 512;
 147       return 404;
 148     }
 149     location = /2/-1/1.png {
 150       set $limit_rate 512;
 151       return 404;
 152     }
 153     location = /2/1/-1.png {
 154       set $limit_rate 512;
 155       return 404;
 156     }
 157     location = /2/-1/2.png {
 158       set $limit_rate 512;
 159       return 404;
 160     }
 161     location = /2/-1/3.png {
 162       set $limit_rate 512;
 163       return 404;
 164     }
 165
 166     location / {
 167       proxy_pass http://tile_cache_backend;
 168       proxy_set_header X-Forwarded-For $remote_addr;
 169       proxy_http_version 1.1;
 170       proxy_set_header Connection '';
 171
 172       proxy_connect_timeout 5s;
 173
 174       # Preserve host header.
 175       proxy_set_header Host $host;
 176       # Do not pass cookies to backends.
 177       proxy_set_header Cookie '';
 178       # Do not pass Accept-Encoding to backends.
 179       proxy_set_header Accept-Encoding '';
 180
 181       # Do not allow setting cookies from backends due to caching.
 182       proxy_ignore_headers Set-Cookie;
 183       proxy_hide_header Set-Cookie;
 184
 185       # Set a QoS cookie if none presented (uses nginx Map)
 186       add_header Set-Cookie $cookie_qos_token_set;
 187 <% if node[:ssl][:strict_transport_security] -%>
 188       # Ensure Strict-Transport-Security header is removed from proxied server responses
 189       proxy_hide_header Strict-Transport-Security;
 190
 191       # Enable HSTS
 192       add_header Strict-Transport-Security "<%= node[:ssl][:strict_transport_security] %>" always;
 193 <% end -%>
 194
 195       # QoS Traffic Rate see $limit_rate on http://nginx.org/en/docs/http/ngx_http_core_module.html
 196       set $limit_rate $limit_rate_qos;
 197
 198       # Allow Higher Traffic Rate from Approved User-Agents which do not support cookies (uses nginx Map)
 199       if ($approved_scraper) {
 200         set $limit_rate 65536;
 201       }
 202
 203       if ($denied_scraper) {
 204         set $limit_rate 512;
 205         return 429;
 206       }
 207       if ($denied_referer) {
 208         set $limit_rate 512;
 209         return 418;
 210       }
 211
 212       # Strip any ?query parameters from urls
 213       set $args '';
 214
 215       # Allow cache purging headers only from select User-Agents (uses nginx Map)
 216       proxy_set_header Cache-Control $limit_http_cache_control;
 217       proxy_set_header Pragma $limit_http_pragma;
 218     }
 219 }