feat(haproxy): Admin-UI auf eigenem Port :3443 (mailgateway-Pattern)

* HAProxy neues Frontend mgmt_https :3443 → api_backend (Mgmt-UI). Selbe TLS-Cert-Strecke wie :443 (gleicher /etc/edgeguard/tls/-Pool). * :443 verliert default_backend → unbekannte Hosts kriegen 503, nicht mehr versehentlich die Admin-UI. Plus default-Route auf primary_backend pro Domain (catch-all-Routing dort, wo gewollt). * Anti-Lockout in nft-Template um tcp dport 3443 erweitert (zusätzlich zu 22 + 443). * SystemRulesCard zeigt 3443 als 3. Anti-Lockout-Eintrag. Erreichbarkeit: * Public Backends: https://<domain>:443 (mit eigenem Cert oder LE) * Admin-UI: https://<host>:3443 (jeder Hostname, default_backend) * SSH: :22 (rate-limited 10/min) Version 1.0.13. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-10 21:37:53 +02:00
parent fd294a273e
commit 0d51b26170
9 changed files with 28 additions and 10 deletions
--- a/internal/firewall/ruleset.nft.tpl
+++ b/internal/firewall/ruleset.nft.tpl
@@ -27,8 +27,9 @@ table inet edgeguard {
        # Diese Block kommt VOR den Custom-Rules — d.h. selbst wenn ein
        # Operator versehentlich „drop alles" baut, bleibt SSH + Admin-UI
        # erreichbar.
-        tcp dport 22  ct state new limit rate 10/minute accept comment "anti-lockout: SSH (rate-limited)"
-        tcp dport 443 accept comment "anti-lockout: Management-UI (HAProxy/HTTPS)"
+        tcp dport 22   ct state new limit rate 10/minute accept comment "anti-lockout: SSH (rate-limited)"
+        tcp dport 443  accept comment "anti-lockout: HAProxy public HTTPS"
+        tcp dport 3443 accept comment "anti-lockout: Management-UI (HAProxy admin HTTPS)"

        # Stateful baseline
        ct state established,related accept