fix(dashboard): nftables-Status aus Kernel statt Systemd-Unit

Vorher: Service-Health-Grid hat 'nftables.service' per systemctl
abgefragt. Distro-Unit ist disabled (wir laden via 'nft -f' aus
dem Renderer) → Dashboard zeigte FW als 'inactive', obwohl Pakete
sehr wohl gefiltert werden.

Fix: Special-case in /system/services für unit='nftables'. Status
= existiert 'table inet edgeguard' im Kernel-Ruleset (sudo nft list
tables). 'kernel-loaded' wenn ja, 'no-table' wenn nein.

Plus: sudoers im postinst erweitert um 'nft list tables' + 'nft list
table inet edgeguard'.

Version 1.0.44.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

packaging/debian/edgeguard-api/DEBIAN/postinst

@@ -53,6 +53,8 @@ case "$1" in
 edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl reload haproxy.service
 edgeguard ALL=(root) NOPASSWD: /bin/systemctl reload haproxy.service
 edgeguard ALL=(root) NOPASSWD: /usr/sbin/nft -f /etc/edgeguard/nftables.d/ruleset.nft
+edgeguard ALL=(root) NOPASSWD: /usr/sbin/nft list tables
+edgeguard ALL=(root) NOPASSWD: /usr/sbin/nft list table inet edgeguard
 edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl start wg-quick@*.service
 edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl restart wg-quick@*.service
 edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl stop wg-quick@*.service