From 76b9ffa1404230977276905bd16f1adb6c940cec Mon Sep 17 00:00:00 2001
From: Micha <michideheld@gmx.de>
Date: Sat, 13 Jun 2026 08:42:14 +0200
Subject: [PATCH] feat: add lan-only host bind for ecowitt http push

Ecowitt GW3000 kann kein HTTPS und pusht per HTTP an den HA-Webhook.
HA bekommt einen LAN-only Host-Bind 192.168.178.58:8123 (nicht WAN),
analog zur dokumentierten InfluxDB-8181-Ausnahme. Kein Traefik-Umbau
des globalen HTTP-Redirects noetig, da Ecowitt rein im LAN pusht.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
---
 smart-home/docker-compose.yml | 8 ++++++--
 1 file changed, 6 insertions(+), 2 deletions(-)

diff --git a/smart-home/docker-compose.yml b/smart-home/docker-compose.yml
index dd9d519..c1bd5c3 100644
--- a/smart-home/docker-compose.yml
+++ b/smart-home/docker-compose.yml
@@ -15,8 +15,12 @@ services:
     networks:
       - frontend_net
       - smarthome_net
-    expose:
-      - "8123"
+    # LAN-only Host-Bind nur fuer den Ecowitt-HTTP-Push: das GW3000-Gateway kann
+    # kein HTTPS und pusht per HTTP direkt an den HA-Webhook. Bindung ausschliesslich
+    # auf die LAN-IP (nicht 0.0.0.0, nicht WAN). Dokumentierte Ausnahme analog
+    # InfluxDB 8181, siehe docs/DECISIONS.md (2026-06-13) und Architektur-Master 10.
+    ports:
+      - "192.168.178.58:8123:8123"
     security_opt:
       - no-new-privileges:true
     depends_on: