LIVE Intel Feed21.639 exponierte Instanzen128.457 Checks93.4% Auth-Bypass RisikoUpdate: Feb 2026Keine Speicherung deiner Eingaben
ClawGuru
Institutional Ops Intelligence
NotfallPro Kits
Runbook

Firewall Baseline auf Netlify

Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Netlify).

Was ist das hier?

Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Netlify).

Priorität
Wenn Production betroffen ist: Containment zuerst (Stop the bleeding), dann Root Cause.

Schnell‑Triage (5 Minuten)

  • Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
  • Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
  • Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?
Ziel
Firewall Baseline: Default deny, minimal offene Ports, sichere Defaults.

Minimal-Regeln (UFW Beispiel)

ufw default deny incoming
ufw default allow outgoing
ufw allow 80/tcp
ufw allow 443/tcp
# SSH: lieber nur via VPN / Allowlist
# ufw allow from <your-ip> to any port 22 proto tcp
ufw enable
ufw status verbose

Fix‑Schritte (Copy/Paste‑fähig)

  • Default deny inbound, allow established/related.
  • Nur notwendige Ports öffnen (typisch: 80/443, evtl. 22 via VPN/Allowlist).
  • Admin-Ports (DB/Redis) niemals public.
  • Logging an: dropped packets zählen (Abuse erkennen).
  • Verifikation: extern portscan, intern healthchecks.

Verifikation

Netlify → Deploys → Functions Logs (bei /api/* Problemen)
Netlify → Site settings → Environment variables (Scopes prüfen)

Prävention / Guardrails

  • ENV Variablen in richtigen Scope setzen (Build vs Runtime)
  • Deploy Preview ≠ Production: Webhooks/Origins fixen

Warnungen

  • Viele 5xx entstehen durch fehlende ENV in Functions runtime.
Steps
  1. Default deny inbound, allow established/related.
  2. Nur notwendige Ports öffnen (typisch: 80/443, evtl. 22 via VPN/Allowlist).
  3. Admin-Ports (DB/Redis) niemals public.
  4. Logging an: dropped packets zählen (Abuse erkennen).
  5. Verifikation: extern portscan, intern healthchecks.
Re-Check starten →Copilot Runbook Builder →
provider:netlifytopic:firewall-baselinenetlifyrunbookops
Related Runbooks
Firewall Baseline auf Hetzner
Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).
Öffnen →
SSH Hardening auf Hetzner
Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Hetzner).
Öffnen →
WebSocket Origin Hardening auf Hetzner
Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Hetzner).
Öffnen →
Reverse Proxy Baseline auf Hetzner
TLS, headers, caching, upstream health, timeouts. (Operator Guide für Hetzner).
Öffnen →
Rate Limit Baseline auf Hetzner
Edge + App Limits gegen Abuse und Cost-Spikes. (Operator Guide für Hetzner).
Öffnen →
DDoS First Response auf Hetzner
Blocken, absorbieren, recovern – ohne Panik. (Operator Guide für Hetzner).
Öffnen →
Hinweis: Diese Inhalte sind für Ops/Security gedacht. Keine „Namen-Datenbank“, keine Anschuldigungen – nur Runbooks, Tools und verifizierbare Checks.
CheckCopilotPro KitsVault