Abo -25%
Abonnements 25% Rabatt
LAUNCH-SUB
Claws -25%
Claws 25% Rabatt
LAUNCH-CLAWS
Abo -25%
Abonnements 25% Rabatt
LAUNCH-SUB
Claws -25%
Claws 25% Rabatt
LAUNCH-CLAWS
Netzwerksicherheit
4 min Lesezeit
Security
Zuletzt aktualisiert 10. February 2026
Firewall und Netzwerkhärtung
Jede ClawHosters-Instanz läuft auf einem eigenen dedizierten VPS mit einer strikten Firewall, die vor dem Start des Kundenworkloads konfiguriert wird. Die Standardrichtlinie verwirft den gesamten eingehenden Datenverkehr, außer dem ausdrücklich erlaubten.
Diese Seite erklärt die einzelnen Regeln, wovor sie schützen und was du von der Netzwerkschicht erwarten kannst.
Eingehende Firewall-Regeln
Die Firewall verwendet iptables mit einer Standard-DROP-Richtlinie auf der INPUT-Chain. Nur folgender Datenverkehr wird zugelassen:
| Port | Protokoll | Zweck |
|---|---|---|
| 22 | TCP | SSH-Zugang (deaktiviert, sofern nicht aktiviert) |
| 8080 | TCP | OpenClaw Gateway Web-Oberfläche |
| -- | -- | Bestehende und verwandte Verbindungen (Rückverkehr für ausgehende Anfragen) |
| -- | -- | Loopback (localhost-Kommunikation innerhalb des VPS) |
Alles andere wird stillschweigend verworfen. Es gibt keine Antwort auf Port-Scans oder Verbindungsversuche auf nicht aufgelisteten Ports.
Was das in der Praxis bedeutet
Deine Instanz stellt nur zwei Ports ins Internet bereit: SSH und die Web-Oberfläche. Wenn du den SSH-Zugang nicht aktiviert hast, ist Port 22 zwar auf Firewall-Ebene offen, aber der SSH-Daemon hat keine autorisierten Schlüssel konfiguriert, sodass Verbindungen abgelehnt werden.
Die Web-Oberfläche auf Port 8080 ist durch HTTP-Basic-Authentifizierung geschützt. Die Kombination aus Firewall-Regeln und Gateway-Auth bedeutet, dass ein Angreifer sowohl Netzwerkzugang als auch gültige Anmeldedaten bräuchte, um mit deiner Instanz zu interagieren.
Ausgehende Firewall-Regeln
Ausgehender Datenverkehr ist standardmäßig erlaubt, mit bestimmten Ausnahmen. Folgende ausgehende Ports sind gesperrt:
| Ports | Protokoll | Grund |
|---|---|---|
| 25, 465, 587, 2525 | TCP | SMTP -- verhindert, dass die Instanz Spam-E-Mails versendet |
| 6667, 6697, 194 | TCP | IRC -- verhindert Botnet-Command-and-Control-Kommunikation |
Deine Instanz kann ausgehende HTTP/HTTPS-Anfragen stellen, sich mit APIs verbinden, Pakete herunterladen und alles andere im Netzwerk tun. Die einzige Einschränkung ist, dass sie keine E-Mails direkt versenden oder IRC-Netzwerken beitreten kann.
Wenn dein Anwendungsfall E-Mail-Versand erfordert, kannst du einen E-Mail-API-Dienst eines Drittanbieters (wie Mailgun oder SendGrid) über HTTPS nutzen. Die SMTP-Sperre betrifft nur die direkte E-Mail-Zustellung über die Standard-Mail-Ports.
SYN-Flood-Schutz
Eingehende SYN-Pakete (neue Verbindungsversuche) werden ratenbegrenzt, um Port-Scanning und SYN-Flood-Angriffe zu verhindern:
| Parameter | Wert |
|---|---|
| Ratenbegrenzung | 30 SYN-Pakete pro Sekunde |
| Burst-Toleranz | 60 Pakete |
| Überschussbehandlung | Protokolliert und verworfen |
| Log-Präfix | PORTSCAN_BLOCKED: |
Das bedeutet, dass ein normaler Benutzer, der sich per SSH oder über die Web-Oberfläche verbindet, keine Verzögerung bemerkt. Aber ein Angreifer, der versucht, Ports schnell zu scannen, wird nach Überschreitung des Burst-Limits geblockt.
fail2ban: SSH-Brute-Force-Schutz
fail2ban überwacht SSH-Anmeldeversuche und sperrt automatisch IPs, die wiederholt bei der Authentifizierung scheitern.
| Einstellung | Wert |
|---|---|
| Überwachter Dienst | SSH (sshd) |
| Max. fehlgeschlagene Versuche | 3 |
| Sperrdauer | 1 Stunde |
| Sperrmethode | iptables-DROP-Regel für die betroffene IP |
Nach drei fehlgeschlagenen SSH-Anmeldeversuchen von derselben IP-Adresse wird diese IP für eine Stunde gesperrt. Die Sperre erfolgt automatisch und erfordert keine Aktion deinerseits.
Falls du dich selbst aussperrst (zum Beispiel durch Verwendung des falschen SSH-Schlüssels), warte eine Stunde, bis die Sperre abläuft. Es gibt keine Möglichkeit, eine IP manuell über das Dashboard zu entsperren.
Hinweis: fail2ban gilt nur, wenn der SSH-Zugang für deine Instanz aktiviert ist. Wenn SSH nicht aktiviert ist, gibt es keine Anmeldeversuche zum Überwachen.
Docker-Netzwerk-Isolation
Jede Instanz läuft in einem Docker-Container auf einem eigenen dedizierten VPS. Es gibt kein gemeinsames Docker-Netzwerk zwischen Kunden.
| Isolierungsmaßnahme | Details |
|---|---|
| Ein VPS pro Kunde | Keine Container-Mehrmandantenfähigkeit |
| Kein geteiltes Docker-Bridge | Jeder VPS hat seinen eigenen Docker-Daemon |
| Container-Port-Mapping | Nur Port 8080 wird extern gemappt |
| Interner Port 9090 | Metrics-Endpunkt, nicht extern erreichbar |
Der Container kommuniziert mit der Außenwelt nur über den gemappten Port. Interne Dienste (wie der Metrics-Endpunkt auf Port 9090) sind nur innerhalb des VPS erreichbar und nicht aus dem Internet zugänglich.
Was du nicht ändern kannst
Die Firewall- und fail2ban-Konfiguration wird während der Instanz-Bereitstellung angewendet und kann nicht über das Dashboard oder die API geändert werden. Das ist beabsichtigt: einheitliche Sicherheitsstandards über alle Instanzen hinweg reduzieren das Risiko von Fehlkonfigurationen.
Wenn du den SSH-Zugang aktivierst, kannst du die Firewall-Regeln auf deinem VPS einsehen, aber Änderungen werden nicht empfohlen. Änderungen bleiben nicht über Instanz-Neuaufbau oder Snapshot-Wiederherstellungen bestehen.
Verwandte Dokumentation
- Sicherheitsübersicht -- Infrastruktur-, Container- und Datenschutzmaßnahmen
- Authentifizierung und Zugriffskontrolle -- Wie jede Zugriffsmethode geschützt ist
- SSH-Zugang zu deiner Instanz -- SSH auf deinem VPS aktivieren und nutzen
Verwandte Dokumentation
Sicherheitsübersicht
Wie wir deine Daten schützen Jede ClawHosters-Instanz läuft auf einem eigenen dedizierten Hetzne...
Architekturübersicht
Wie ClawHosters funktioniert ClawHosters ist eine verwaltete Hosting-Plattform für OpenClaw, ein...
Nutzungsrichtlinien und akzeptable Nutzung
Akzeptable Nutzung ClawHosters bietet verwaltetes Hosting für OpenClaw-Instanzen. Alle Kunden te...