From 552830acefc08f6161a925294801174366c89a98 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?Sebastian=20K=C3=B6hler?= <kontakt@webfarben.net>
Date: Mon, 2 Mar 2026 20:22:33 +0100
Subject: [PATCH] Add optional Nginx IP whitelist hardening

---
 WEB_README.md | 30 ++++++++++++++++++++++++++++++
 1 file changed, 30 insertions(+)

diff --git a/WEB_README.md b/WEB_README.md
index 2e4a99f..bf3e381 100644
--- a/WEB_README.md
+++ b/WEB_README.md
@@ -161,6 +161,35 @@ curl -I https://ics.example.de
 
 Erwartung: zuerst `401 Unauthorized`, mit Login im Browser dann Zugriff.
 
+### 2c) IP-Whitelist (optional, zusätzlich)
+
+Wenn nur bestimmte Netze zugreifen sollen, kann Nginx den Zugriff auf IP-Bereiche begrenzen.
+
+Beispiel (lokales Netz + einzelne feste IP):
+
+```nginx
+location / {
+	allow 192.168.178.0/24;
+	allow 203.0.113.10;
+	deny all;
+
+	proxy_pass http://127.0.0.1:8000;
+	proxy_set_header Host $host;
+	proxy_set_header X-Real-IP $remote_addr;
+	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+	proxy_set_header X-Forwarded-Proto $scheme;
+}
+```
+
+Danach prüfen und neu laden:
+
+```bash
+sudo nginx -t
+sudo systemctl reload nginx
+```
+
+Kombiniert mit Basic Auth ist das eine robuste Mindestabsicherung.
+
 ### 3) HTTPS mit Let's Encrypt
 
 ```bash
@@ -178,5 +207,6 @@ sudo certbot renew --dry-run
 ### 4) Mindest-Sicherheit
 
 - Zugriffe absichern (mindestens Basic Auth)
+- Optional zusätzlich per IP-Whitelist einschränken
 - Upload-Limit klein halten (`client_max_body_size`)
 - Server und Pakete regelmäßig aktualisieren