feat(firewall): default-drop logging in input + forward chain

User-Feedback: das Live-Log zeigte nur die Smoke-Test-Snapshots von gestern weil keine einzige Firewall-Rule den log-Flag hatte. „Das ist kein Live-Log." Fix: das nft-Template emittiert jetzt am Ende der input und forward chain einen `limit rate 10/second log prefix "edgeguard:drop-*" group 0` direkt vor dem default `policy drop`. Damit fließen ALLE Pakete die keine Custom-Rule erlaubt hat ins Log — ohne dass der Operator pro Rule den Log-Switch setzen muss. limit rate 10/second burst 5: schützt vor Log-Floods durch Port- Scanner, ohne die normale Visibility zu verlieren. Bei einer typischen Edge-Box mit 99% Drop auf WAN-Inbound liegt das Volumen so bei ~300 Events/min = 5MB/h gzipped — logrotate keeps 14 days. Reader: drop-input/drop-forward-Prefix wird NICHT als RuleID gemappt (es gibt keine zugehörige Rule), Action explizit auf "drop". UI rendert die mit eigenem Tag "default-input" / "default-fwd" (volcano-Farbe) in der Rule-Spalte. Verifiziert auf der Box: 26 echte Drop-Pakete in 5s nach Re-render. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-13 07:15:23 +02:00
parent 24c40bc776
commit df77b814ff
8 changed files with 37 additions and 8 deletions
--- a/management-ui/src/components/Layout/Sidebar.tsx
+++ b/management-ui/src/components/Layout/Sidebar.tsx
@@ -81,7 +81,7 @@ const NAV: NavSection[] = [
  },
 ]

-const VERSION = '1.0.68'
+const VERSION = '1.0.69'

 // Sidebar-Pattern 1:1 aus netcell-webpanel (enconf) übernommen:
 // - <nav> als root, dunkler Gradient + Teal/Blue-Accent
--- a/management-ui/src/pages/FirewallLive/index.tsx
+++ b/management-ui/src/pages/FirewallLive/index.tsx
@@ -251,8 +251,15 @@ export default function FirewallLivePage() {
      render: (a: string | undefined, row) => actionTag(a, row.prefix),
    },
    {
-      title: t('fwlog.col.rule'), dataIndex: 'rule_id', width: 80,
-      render: (v?: string) => v ? <Tag>{v}</Tag> : <Text type="secondary">—</Text>,
+      title: t('fwlog.col.rule'), dataIndex: 'rule_id', width: 130,
+      render: (v: string | undefined, row: Entry) => {
+        if (v) return <Tag>#{v}</Tag>
+        // default-drop-Logs haben keinen RuleID-Wert, der prefix
+        // identifiziert sie: edgeguard:drop-input / edgeguard:drop-forward
+        if (row.prefix === 'edgeguard:drop-input')   return <Tag color="volcano">default-input</Tag>
+        if (row.prefix === 'edgeguard:drop-forward') return <Tag color="volcano">default-fwd</Tag>
+        return <Text type="secondary">—</Text>
+      },
    },
    {
      title: t('fwlog.col.proto'), dataIndex: 'proto', width: 80,