返回“运行命令清单”:

login及其子命令用法

通过使用gmzta login将这台机器登录到您的飞网加密网络。

gmzta login

请访问如下地址进行身份验证:

        https://nac.gmzta.com:44390/challenge/aaaxxx

login可用的子命令如下表所示。

子命令参数适用的操作系统说明
--appnonde通用将此节点设置为应用网关
--dns通用接受控制中心的DNS配置,默认为true
--forbidincoming通用禁止“入方向”网络连接,默认为false
--hostname string通用修改为要使用的主机名,默认为操作系统的主机名
--login-server string通用登录到指定的控制中心 (默认为 https://auth.gmzta.com:44300)
--netfilter stringLinux使用指定的网络过滤配置,不指定时则允许所以流量
--nickname string通用修改当前账号的昵称
--operator stringLinuxUnix用户名,允许在没有sudo的情况下操作gmztad
--out string通用指定当前节点使用的飞网出口网关 (飞网IP地址或节点名称) , 若不指定则表示不使用出口网关
--outnode通用当前节点开启出口网关功能,允许其它节点的飞网外部流量转发,默认为false
--outwithlan通用当前节点开启出口网关功能,同时允许本地网络的流量转发,默认为false
--qr通用增加身份认证地址的二维码显示,默认为false
--snatsubnetLinux源NAT流量到用公布的本地子网网关 --subnet 默认为true
--sshLinux运行飞网内置的SSH服务,该服务由访问控制策略管理,默认为false
--subnet通用使用控制中心推送的子网配置
--subnetnode string通用开启子网网关功能,需指定一个或多个子网范围并以逗号分隔,如:“10.0.0.0/8,192.168.0.0/24”,若不指定则表示关闭子网网关功能
--tags string通用指定当前设备的一个或多个访问控制标识并以逗号分隔,该功能需要配合访问控制策略使用。如:"tag:dev,tag:ssh"
--timeout duration通用配置等待gmztad服务正常化的超时时间,默认为 0s
--token string通用设置节点授权密钥;若以"file:"开头,则为包含授权密钥的文件路径
--unattendedWindows开启“无人值守模式”,若当前操作系统用户注销登录后飞网仍将正常运行,该功能仅针对Windows操作系统,,默认为false

--appnode

适用于Windows,Linux等操作系统

将此节点设置为应用网关,通过应用网关,可以控制设备和用户对第三方应用程序的访问行为。

应用案例 应用网关

--dns

适用于Windows,Linux等操作系统

接受控制中心的DNS配置,默认为true

gmzta login --dns=false

其命令效果等同于“使用DNS设置”的可视化操作配置

以下是关于DNS域名解析的分析

//查看飞网的DNS服务器的域名解析结果
nslookup jiqia.aila.gmzta.net 100.100.100.100 
服务器:  unidns.localhost-gmzta-daemon
Address:  100.100.100.100

名称:    jiqia.aila.gmzta.net
Address:  100.69.68.164

//当--dns=false时,控制面板开启UniDNS
ping jiqia.aila.gmzta.net
Ping 请求找不到主机 jiqia.aila.gmzta.net。请检查该名称,然后重试。

//当--dns=true时,控制面板开启UniDNS
ping jiqia.aila.gmzta.net

正在 Ping jiqia.aila.gmzta.net. [100.69.68.164] 具有 32 字节的数据:
来自 100.69.68.164 的回复: 字节=32 时间=50ms TTL=64
来自 100.69.68.164 的回复: 字节=32 时间=36ms TTL=64
来自 100.69.68.164 的回复: 字节=32 时间=41ms TTL=64
来自 100.69.68.164 的回复: 字节=32 时间=42ms TTL=64

100.69.68.164 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 36ms,最长 = 50ms,平均 = 42ms


应用案例 开启并使用UniDNS

--forbidincoming

适用于Windows,Linux等操作系统

--forbidincoming=true禁止入方向的网络连接,默认为false,加入飞网的其他设备无法通过飞网网络访问开启此功能的设备。

gmzta login --forbidincoming=true

其命令效果等同于“允许传入连接”的可视化操作配置

--hostname

适用于Windows,Linux等操作系统

--hostname string 修改为要使用的主机名,默认为操作系统的主机名

示例:将该设备的主机名修改为shebeia

gmzta login --hostname shebeia

--login-server

适用于Windows,Linux等操作系统

登录到指定的控制中心 (默认为 https://auth.gmzta.com:44300)

--netfiler

适用Linux操作系统

使用指定的网络过滤配置,不指定时则允许所以流量,可选值为(off、nodivert或on)默认为on。如果您设置为no或 nodivert,您需要为飞网流量手动配置防火墙。

root@test:~#gmzta on --netfilter off
Warning:netfilter=off;configure iptables yourself.

--nickname

适用于Windows,Linux等操作系统

--nickname string 修改当前账号的昵称

示例:将当前账号的昵称修改为demouser

gmzta login --nickname demouser

--operator

适用Linux操作系统

Unix用户名,允许在没有sudo的情况下操作gmztad

--out

指定当前节点使用的飞网出口网关 (飞网IP地址或节点名称) , 若不指定则表示不使用出口网关。

前提条件:使用出口网关前您至少需要两个设备加入到飞网内,一台设备开启出口网关(具体参考如下--outnode章节)的情况下,另一台设备才可使用出口网关。

使用出口网关的设备通过命令行使用出口网关:

gmzta login --out 100.114.81.115


//100.114.81.115为开启出口网关的设备的飞网IP地址

对于Windows系统其命令效果等同于“使用出口网关”的可视化操作配置

应用案例 开启并使用出口网关

--outnode

适用于Windows,Linux等操作系统

当前节点开启出口网关功能,允许其它节点的飞网外部流量转发,默认为false

对于Linux系统开启此功能需要先启用IP转发

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf

通过命令行开启出口网关

gmzta login --outnode

对于Windows系统其命令效果等同于“开启出口网关”的可视化操作配置

应用案例 开启并使用出口网关

--outwithlan

适用于Windows,Linux等操作系统

当前节点使用出口网关功能时,同时允许本地网络的流量转发,默认为false

使用以下命令实现在使用出口网关的时,允许本地网络的流量转发

gmzta login --out <出口节点的飞网IP> --outwithlan=true

其命令效果等同于“允许通过出口网关访问本地网络”的可视化操作配置。

--qr

适用于Windows,Linux等操作系统

增加身份认证地址的二维码显示,默认为false

gmzta login --qr

--snatsubnet

适用Linux操作系统

源NAT流量到用公布的本地子网网关 --subnet 默认为true,如果禁用它(--snatsubnet=false),配置--subnetmode 之后源NAT流量到公布的本地子网只有去程路由,需要手动配置子网网关器才有回程路由

root@test:~# gmzta login --snatsubnet

--ssh

适用Linux操作系统

运行飞网内置的SSH服务,该服务由访问控制策略管理,默认为false gmzta ssh的服务器组件仅在Linux操作系统上可用。

当一台设备需要允许接受来自飞网的SSH连接时,需要做以下配置

root@test:~# gmzta login --ssh
请访问如下地址进行身份验证:
    https://nac.gmzta.com:44390/challenge/7d173d9f
需要您的团队网络管理员访问以下地址,并批准您设备的上线请求。:
    https://nac.gmzta.com:44390/HachineInfo/index
验证成功

应用案例 使用飞网SSH

--subnet

适用于Windows,Linux等操作系统

使用控制中心推送的子网配置,Windows系统默认为true,Linux系统默认为false

使用以下命令允许使用子网网关

gmzta login --subnet=true

其命令效果等同于“使用子网网关”的可视化操作配置。

--subnetnode

适用于Windows,Linux等操作系统

开启子网网关功能,需指定一个或多个子网范围并以逗号分隔,若不指定则表示关闭子网网关功能

对于Linux系统开启子网网关的功能需要先启用IP转发

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf

然后通过命令行开启子网网关

gmzta login --subnetnode=192.168.1.0/24,10.0.0.0/24
//将上面示例中的子网替换为适合您的网络的子网。

应用案例 开启并使用子网网关

--tags

适用于Windows,Linux等操作系统

指定当前设备的一个或多个访问控制标识并以逗号分隔,该功能需要配合访问控制策略使用。如:"tag:dev,tag:ssh"

示例:

通过运行以下命令给设备打上相应的标签

gmzta on --tags=tag:server

如果要为设备分配多个标签,请按以下方式用逗号分隔它们:

gmzta on --tags=tag:server,tag:abc

若要取消标签作并将设备恢复为由其经过身份验证的用户标识,可以将--tags参数设置为空。

gmzta on --tags=

--timeout

适用于Windows,Linux等操作系统

配置等待gmztad服务正常化的超时时间,默认为 0s

//将时间设置为10s
gmzta login --timeout=10s

--token

适用于Windows,Linux等操作系统

设置节点授权密钥;若以"file:"开头,则为包含授权密钥的文件路径,授权密钥可从控制面板的密钥设置页面生成。

gmzta login --token <授权密钥字符串>

--unattended

适用于Windows操作系统

--unattended=true开启“无人值守模式”,若当前操作系统用户注销登录后飞网仍将正常运行,该功能仅针对Windows操作系统,默认为false

gmzta login --unattended=true

其命令效果等同于“无人值守”的可视化操作配置。

上次更新: