Firewall e IPs

Os webhooks da plataforma são enviados a partir de endereços IP fixos. Se o seu servidor possui um firewall ou uma lista de permissões (allowlist), você precisa liberar o tráfego originário desses IPs para que os webhooks cheguem corretamente.

IPs oficiais

IP	Região
`44.196.41.87/32`	US - N. Virginia

Você também pode baixar a lista em formato JSON para uso em scripts e automações: webhook-ips.json

Esta lista pode ser atualizada conforme a infraestrutura evolui. Verifique esta página antes de configurar seu firewall.

Configuração

iptables (Linux)

# Liberar porta 443 (HTTPS) para os IPs da Plowf
iptables -A INPUT -s 44.196.41.87 -p tcp --dport 443 -j ACCEPT

AWS Security Group

No console da AWS (EC2 → Security Groups → Inbound rules), adicione:

Type	Protocol	Port	Source
HTTPS	TCP	443	`44.196.41.87/32`

Via AWS CLI:

aws ec2 authorize-security-group-ingress \
  --group-id sg-xxxxxxxx \
  --protocol tcp \
  --port 443 \
  --cidr 44.196.41.87/32

Nginx

Se você usa Nginx como proxy reverso, restrinja o acesso ao endpoint de webhook por IP:

location /webhooks/plowf {
    allow 44.196.41.87;
    deny all;
    proxy_pass http://localhost:3000;
}

Cloudflare

Se o seu domínio está por trás do Cloudflare, o tráfego dos webhooks passa pelos servidores da Cloudflare antes de chegar ao seu servidor. Isso pode fazer com que o IP de origem visível seja da Cloudflare, e não da Plowf — o que exige configuração adicional. Opção 1 — Regra WAF (recomendado) Crie uma regra no Security → WAF → Custom rules que permite o acesso ao seu endpoint de webhook diretamente pelos IPs da Plowf, antes de qualquer outra verificação:

Campo	Valor
Expression	`(ip.src eq 44.196.41.87) and (http.request.uri.path contains "/webhooks/plowf")`
Action	`Allow`

Isso garante que requisições vindas dos IPs da Plowf não sejam bloqueadas por regras de rate limiting, Bot Fight Mode ou outros desafios. Opção 2 — IP Access Rules Em Security → WAF → Tools → IP Access Rules, adicione o IP 44.196.41.87 com a ação Allow e escopo Website. Essa opção é mais simples, mas se aplica a todas as rotas do domínio. Opção 3 — Desativar o proxy para o endpoint (modo DNS-only) Se você não precisa que o Cloudflare faça proxy do seu endpoint de webhook, pode configurar o registro DNS correspondente como DNS only (ícone de nuvem cinza no painel). Assim, o IP real do seu servidor é exposto e a filtragem por IP no servidor funciona normalmente.

O modo DNS only expõe o IP real do seu servidor. Avalie os tradeoffs de segurança antes de adotar essa abordagem.

Diagnóstico

Se os webhooks não chegam ao seu servidor, verifique:

O endpoint responde a requisições HTTPS externas?
O firewall permite tráfego de entrada na porta 443?
Os IPs acima estão na allowlist?
O certificado SSL é válido (não autoassinado)?

Use o webhook.site para criar um endpoint temporário e verificar se os webhooks chegam corretamente antes de depurar seu próprio servidor.

​IPs oficiais

​Configuração

​iptables (Linux)

​AWS Security Group

​Nginx

​Cloudflare

​Diagnóstico

IPs oficiais

Configuração

iptables (Linux)

AWS Security Group

Nginx

Cloudflare

Diagnóstico