Portknocks sind wie ein akustisches Signal, was eine Geheimtür öffnet: nur wer die richtige Tonfolge kennt, darf eintreten. SPA (Single Packet Authorization) mit fwknop macht das verschlüsselt und zuverlässig. Für mobile Arbeit (wechselnde IPs) kombinieren wir SPA mit WireGuard als Fallback — oder nutzen SPA-Varianten, die nicht an eine feste Client-IP binden (z. B. --resolve-url oder GPG-SPA). nftables ist die Firewall-Engine, mit der wir die Zugriffsregeln sauber und performant verwalten.