fix: stealth mode bind_to 127.0.0.1 + clarify internal port 8443 comments

telemt in stealth mode now binds to 127.0.0.1 instead of 0.0.0.0.
External port 8443 is not exposed - only nginx on 443 is public.

install.sh

@@ -192,11 +192,13 @@ install_stealth_mode() {
     template_dir=$(interactive_template_selection)
     [ $? -ne 0 ] && return
 
-    # Выбор порта для telemt (внутренний)
+    # Внутренний порт для telemt (только localhost, не открыт наружу)
+    # nginx принимает весь трафик на внешнем 443 и проксирует MTProxy-соединения на localhost:8443
+    # Внешний порт 8443 НЕ затрагивается и НЕ открывается — telemt слушает только 127.0.0.1
     local telemt_port=8443
     echo ""
-    echo -e "  ${DIM}telemt будет слушать на порту $telemt_port (внутренний)${NC}"
-    echo -e "  ${DIM}nginx будет на 443 (внешний) и проксировать трафик${NC}"
+    echo -e "  ${DIM}telemt будет слушать на localhost:$telemt_port (только внутренний, не открыт наружу)${NC}"
+    echo -e "  ${DIM}nginx принимает трафик на 443 (внешний) и проксирует к telemt${NC}"
 
     # Генерация секрета
     local secret

lib/telemt_config.sh

@@ -36,6 +36,11 @@ generate_telemt_toml() {
 
     mkdir -p "$(dirname "$output")"
 
+    # В stealth-режиме telemt слушает только localhost (трафик идёт через nginx)
+    # В quick-режиме — на всех интерфейсах (клиенты подключаются напрямую)
+    local bind_addr="0.0.0.0"
+    [ "$mask_mode" = "stealth" ] && bind_addr="127.0.0.1"
+
     cat > "$output" << EOTOML
 # GoTelegram v${GOTELEGRAM_VERSION} — telemt configuration
 # Сгенерировано: $(date -Iseconds)
@@ -52,7 +57,8 @@ generate_telemt_toml() {
 
 # ── Привязка ─────────────────────────────────────────────────────────────────
 [listen]
-  bind_to = "0.0.0.0:${port}"
+  # quick: 0.0.0.0 (клиенты напрямую) | stealth: 127.0.0.1 (только через nginx)
+  bind_to = "${bind_addr}:${port}"
 
 # ── TLS маскировка ───────────────────────────────────────────────────────────
 [security]