fix(postinst): nftables auch beim Upgrade reloaden

Vorher: render-config --no-reload schrieb nur die Files; haproxy
wurde explizit per systemctl restart unten neu gefahren, aber
nft-Set blieb beim Kernel-Stand vom letzten Boot. Bug sichtbar bei
1.0.13: Anti-Lockout-Eintrag für 3443 war im Template, aber der
Kernel hatte die Regel nicht — Port von außen blockiert.

Fix: zwei render-Calls — haproxy mit --no-reload (wie bisher),
nftables ohne, damit `sudo nft -f` direkt nach dem Schreiben
ausgeführt wird.

Version 1.0.14.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

packaging/debian/edgeguard-api/DEBIAN/postinst

@@ -98,10 +98,17 @@ SUDOERS
         # ── Render initial service configs ───────────────────────────
         # Writes /etc/edgeguard/haproxy/haproxy.cfg + nftables.d/
         # ruleset.nft from the (just-migrated, empty) PG state.
-        # --no-reload because haproxy isn't pointed at our config yet
-        # — the drop-in below does that, then we restart.
-        if ! sudo -n -u "$EG_USER" /usr/bin/edgeguard-ctl render-config --no-reload; then
-            echo "postinst: edgeguard-ctl render-config failed — aborting" >&2
+        #
+        # haproxy bekommt --no-reload (drop-in unten zeigt erst danach
+        # auf unsere cfg; wir restarten explizit); nftables muss aber
+        # aktiv reloadet werden, sonst läuft das Kernel-Set bei Template-
+        # Änderungen (z.B. neue anti-lockout-Ports) hinterher.
+        if ! sudo -n -u "$EG_USER" /usr/bin/edgeguard-ctl render-config --only=haproxy --no-reload; then
+            echo "postinst: edgeguard-ctl render-config (haproxy) failed — aborting" >&2
+            exit 1
+        fi
+        if ! sudo -n -u "$EG_USER" /usr/bin/edgeguard-ctl render-config --only=nftables; then
+            echo "postinst: edgeguard-ctl render-config (nftables) failed — aborting" >&2
             exit 1
         fi