fix(postinst): nftables auch beim Upgrade reloaden

Vorher: render-config --no-reload schrieb nur die Files; haproxy wurde explizit per systemctl restart unten neu gefahren, aber nft-Set blieb beim Kernel-Stand vom letzten Boot. Bug sichtbar bei 1.0.13: Anti-Lockout-Eintrag für 3443 war im Template, aber der Kernel hatte die Regel nicht — Port von außen blockiert. Fix: zwei render-Calls — haproxy mit --no-reload (wie bisher), nftables ohne, damit `sudo nft -f` direkt nach dem Schreiben ausgeführt wird. Version 1.0.14. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-10 21:41:54 +02:00
parent 0d51b26170
commit a0ab929b9a
7 changed files with 17 additions and 10 deletions
--- a/2
+++ b/2
@@ -1 +1 @@
-1.0.13
+1.0.14
--- a/cmd/edgeguard-api/main.go
+++ b/cmd/edgeguard-api/main.go
@@ -39,7 +39,7 @@ import (
 	wgsvc "git.netcell-it.de/projekte/edgeguard-native/internal/services/wireguard"
 )
-var version = "1.0.13"
+var version = "1.0.14"
 func main() {
 	addr := os.Getenv("EDGEGUARD_API_ADDR")
--- a/cmd/edgeguard-ctl/main.go
+++ b/cmd/edgeguard-ctl/main.go
@@ -9,7 +9,7 @@ import (
 	"os"
 )
-var version = "1.0.13"
+var version = "1.0.14"
 const usage = `edgeguard-ctl — EdgeGuard CLI
--- a/cmd/edgeguard-scheduler/main.go
+++ b/cmd/edgeguard-scheduler/main.go
@@ -5,7 +5,7 @@ import (
 	"time"
 )
-var version = "1.0.13"
+var version = "1.0.14"
 func main() {
 	log.Printf("edgeguard-scheduler %s starting", version)
--- a/management-ui/package.json
+++ b/management-ui/package.json
@@ -1,7 +1,7 @@
 {
  "name": "edgeguard-management-ui",
  "private": true,
-  "version": "1.0.13",
+  "version": "1.0.14",
  "type": "module",
  "scripts": {
    "dev": "vite",
--- a/management-ui/src/components/Layout/Sidebar.tsx
+++ b/management-ui/src/components/Layout/Sidebar.tsx
@@ -70,7 +70,7 @@ const NAV: NavSection[] = [
  },
 ]
-const VERSION = '1.0.13'
+const VERSION = '1.0.14'
 export default function Sidebar({ isOpen, onClose }: SidebarProps) {
  const { t } = useTranslation()
--- a/packaging/debian/edgeguard-api/DEBIAN/postinst
+++ b/packaging/debian/edgeguard-api/DEBIAN/postinst
@@ -98,10 +98,17 @@ SUDOERS
        # ── Render initial service configs ───────────────────────────
        # Writes /etc/edgeguard/haproxy/haproxy.cfg + nftables.d/
        # ruleset.nft from the (just-migrated, empty) PG state.
-        # --no-reload because haproxy isn't pointed at our config yet
+        #
-        # — the drop-in below does that, then we restart.
+        # haproxy bekommt --no-reload (drop-in unten zeigt erst danach
-        if ! sudo -n -u "$EG_USER" /usr/bin/edgeguard-ctl render-config --no-reload; then
+        # auf unsere cfg; wir restarten explizit); nftables muss aber
-            echo "postinst: edgeguard-ctl render-config failed — aborting" >&2
+        # aktiv reloadet werden, sonst läuft das Kernel-Set bei Template-
        # Änderungen (z.B. neue anti-lockout-Ports) hinterher.
        if ! sudo -n -u "$EG_USER" /usr/bin/edgeguard-ctl render-config --only=haproxy --no-reload; then
            echo "postinst: edgeguard-ctl render-config (haproxy) failed — aborting" >&2
            exit 1
        fi
        if ! sudo -n -u "$EG_USER" /usr/bin/edgeguard-ctl render-config --only=nftables; then
            echo "postinst: edgeguard-ctl render-config (nftables) failed — aborting" >&2
            exit 1
        fi