vault: add IoT firewall isolation rules, NPM updated to v2.14.0

3 - Areas/家庭网络基础设施.md

@@ -271,6 +271,28 @@ K8s 节点 DNS 使用 `8.8.8.8`（不经过 OpenClash fake-ip），流量通过
 > 原因：OpenClash fake-ip 对容器镜像仓库（quay.io、ecr.aws 等）返回假 IP，
 > K8s 节点无法通过 TUN 路由假 IP，导致 ImagePullBackOff。
 
+### IoT 设备防火墙隔离
+
+25 台智能家居设备（小米/Yeelight/Aqara 等）通过 nftables 规则限制访问：
+
+| 流量方向 | 策略 |
+|---------|------|
+| IoT → NAS (.70) | **DROP** |
+| IoT → PVE (.69) | **DROP** |
+| IoT → K8s (.11/.21/.22) | **DROP** |
+| IoT → iStoreOS (.63) | **DROP** |
+| IoT → Home Assistant (.97) | ACCEPT |
+| IoT → 手机（米家 App） | ACCEPT（同网段） |
+| IoT → 互联网 | ACCEPT |
+
+实现方式：
+- nft set `iot_devices`：25 台 IoT 设备 IP
+- nft set `protected_servers`：敏感服务器 IP
+- 规则：`ip saddr @iot_devices ip daddr @protected_servers drop`
+- 脚本：`/etc/firewall.iot`（通过 UCI firewall include 自动加载）
+
+> 未使用 VLAN 隔离，因为小米 WiFi 设备（灯、插座、摄像头）需要与手机在同一网段才能本地控制。
+
 ### 待评估
 
 | 项目 | 说明 | 建议 |