diff --git a/smart-home/docker-compose.yml b/smart-home/docker-compose.yml
index dd9d519..c1bd5c3 100644
--- a/smart-home/docker-compose.yml
+++ b/smart-home/docker-compose.yml
@@ -15,8 +15,12 @@ services:
     networks:
       - frontend_net
       - smarthome_net
-    expose:
-      - "8123"
+    # LAN-only Host-Bind nur fuer den Ecowitt-HTTP-Push: das GW3000-Gateway kann
+    # kein HTTPS und pusht per HTTP direkt an den HA-Webhook. Bindung ausschliesslich
+    # auf die LAN-IP (nicht 0.0.0.0, nicht WAN). Dokumentierte Ausnahme analog
+    # InfluxDB 8181, siehe docs/DECISIONS.md (2026-06-13) und Architektur-Master 10.
+    ports:
+      - "192.168.178.58:8123:8123"
     security_opt:
       - no-new-privileges:true
     depends_on: