feat: Zonen als first-class Entity + Domain↔Backend-Verknüpfung sichtbar

* Migration 0012: firewall_zones (id, name UNIQUE, description, builtin), Seed wan/lan/dmz/mgmt/cluster als builtin. CHECK-Constraints auf network_interfaces.role + firewall_rules.{src,dst}_zone + firewall_nat_rules.{in,out}_zone gedroppt — Validation lebt jetzt app-side (Handler prüft Existenz in firewall_zones). * Backend: firewall.ZonesRepo (CRUD + Exists + References-Lookup), /api/v1/firewall/zones, builtin geschützt (Name nicht änderbar, Delete blockiert), Rename eines Custom-Zone aktuell ohne Cascade (Handler-Sorge bei Rules/NAT/Networks). * Handler-Validation in CreateRule/UpdateRule/CreateNAT/UpdateNAT + NetworksHandler: Zone-Existence-Check pro Mutation, 400 bei Tippfehler. * Frontend: Firewall-Tab "Zonen" (CRUD mit builtin-Schutz). Networks- Form lädt Rollen aus /firewall/zones (statt hardcoded Liste); Rules- und NAT-Forms ziehen die Zone-Auswahl ebenfalls aus der API. * Domain-Form bekommt Primary-Backend-Picker (Field war im Modell, fehlte im UI). Backends-Tabelle zeigt umgekehrt welche Domains darauf zeigen — bidirektionale Sicht ohne Schemaänderung. * HAProxy-Renderer: safeID-FuncMap escaped Server-Namen mit Whitespace ("Control Master 1" → "Control_Master_1"). Vorher ist haproxy beim Reload an Spaces im Backend-Namen kaputt gegangen. * Version 1.0.3 → 1.0.6. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-10 18:05:27 +02:00
parent aa14b6b2be
commit 51ea1fc802
23 changed files with 782 additions and 37 deletions
--- a/internal/handlers/networks.go
+++ b/internal/handlers/networks.go
@@ -9,19 +9,24 @@ import (
 	"git.netcell-it.de/projekte/edgeguard-native/internal/handlers/response"
 	"git.netcell-it.de/projekte/edgeguard-native/internal/models"
 	"git.netcell-it.de/projekte/edgeguard-native/internal/services/audit"
+	"git.netcell-it.de/projekte/edgeguard-native/internal/services/firewall"
 	"git.netcell-it.de/projekte/edgeguard-native/internal/services/ipaddresses"
 	"git.netcell-it.de/projekte/edgeguard-native/internal/services/networkifs"
 )

 type NetworksHandler struct {
-	Repo     *networkifs.Repo
-	IPs      *ipaddresses.Repo
-	Audit    *audit.Repo
-	NodeID   string
+	Repo   *networkifs.Repo
+	IPs    *ipaddresses.Repo
+	Zones  *firewall.ZonesRepo
+	Audit  *audit.Repo
+	NodeID string
 }

-func NewNetworksHandler(repo *networkifs.Repo, ips *ipaddresses.Repo, a *audit.Repo, nodeID string) *NetworksHandler {
-	return &NetworksHandler{Repo: repo, IPs: ips, Audit: a, NodeID: nodeID}
+func NewNetworksHandler(
+	repo *networkifs.Repo, ips *ipaddresses.Repo,
+	zones *firewall.ZonesRepo, a *audit.Repo, nodeID string,
+) *NetworksHandler {
+	return &NetworksHandler{Repo: repo, IPs: ips, Zones: zones, Audit: a, NodeID: nodeID}
 }

 func (h *NetworksHandler) Register(rg *gin.RouterGroup) {
@@ -70,6 +75,13 @@ func (h *NetworksHandler) Create(c *gin.Context) {
 		response.BadRequest(c, err)
 		return
 	}
+	if ok, err := h.Zones.Exists(c.Request.Context(), req.Role); err != nil {
+		response.Internal(c, err)
+		return
+	} else if !ok {
+		response.BadRequest(c, errors.New("role: zone "+req.Role+" does not exist"))
+		return
+	}
 	out, err := h.Repo.Create(c.Request.Context(), req)
 	if err != nil {
 		response.Internal(c, err)
@@ -93,6 +105,13 @@ func (h *NetworksHandler) Update(c *gin.Context) {
 		response.BadRequest(c, err)
 		return
 	}
+	if ok, err := h.Zones.Exists(c.Request.Context(), req.Role); err != nil {
+		response.Internal(c, err)
+		return
+	} else if !ok {
+		response.BadRequest(c, errors.New("role: zone "+req.Role+" does not exist"))
+		return
+	}
 	out, err := h.Repo.Update(c.Request.Context(), id, req)
 	if err != nil {
 		if errors.Is(err, networkifs.ErrNotFound) {