返回“运行命令清单”:
login及其子命令用法
通过使用gmzta login将这台机器登录到您的飞网加密网络。
gmzta login
请访问如下地址进行身份验证:
https://nac.gmzta.com:44390/challenge/aaaxxx
login可用的子命令如下表所示。
| 子命令参数 | 适用的操作系统 | 说明 |
|---|---|---|
| --appnonde | 通用 | 将此节点设置为应用网关 |
| --dns | 通用 | 接受控制中心的DNS配置,默认为true |
| --forbidincoming | 通用 | 禁止“入方向”网络连接,默认为false |
| --hostname string | 通用 | 修改为要使用的主机名,默认为操作系统的主机名 |
| --login-server string | 通用 | 登录到指定的控制中心 (默认为 https://auth.gmzta.com:44300) |
| --netfilter string | Linux | 使用指定的网络过滤配置,不指定时则允许所以流量 |
| --nickname string | 通用 | 修改当前账号的昵称 |
| --operator string | Linux | Unix用户名,允许在没有sudo的情况下操作gmztad |
| --out string | 通用 | 指定当前节点使用的飞网出口网关 (飞网IP地址或节点名称) , 若不指定则表示不使用出口网关 |
| --outnode | 通用 | 当前节点开启出口网关功能,允许其它节点的飞网外部流量转发,默认为false |
| --outwithlan | 通用 | 当前节点开启出口网关功能,同时允许本地网络的流量转发,默认为false |
| --qr | 通用 | 增加身份认证地址的二维码显示,默认为false |
| --snatsubnet | Linux | 源NAT流量到用公布的本地子网网关 --subnet 默认为true |
| --ssh | Linux | 运行飞网内置的SSH服务,该服务由访问控制策略管理,默认为false |
| --statefulfiltering | Linux | 对通过(子网网关、出口网关等)的数据包进行应用状态过滤。默认为false |
| --subnet | 通用 | 使用控制中心推送的子网配置 |
| --subnetnode string | 通用 | 开启子网网关功能,需指定一个或多个子网范围并以逗号分隔,如:“10.0.0.0/8,192.168.0.0/24”,若不指定则表示关闭子网网关功能 |
| --tags string | 通用 | 指定当前设备的一个或多个访问控制标识并以逗号分隔,该功能需要配合访问控制策略使用。如:"tag:dev,tag:ssh" |
| --timeout duration | 通用 | 配置等待gmztad服务正常化的超时时间,默认为 0s |
| --token string | 通用 | 设置节点授权密钥;若以"file:"开头,则为包含授权密钥的文件路径 |
| --unattended | Windows | 开启“无人值守模式”,若当前操作系统用户注销登录后飞网仍将正常运行,该功能仅针对Windows操作系统,,默认为false |
--appnode
适用于Windows,Linux等操作系统
将此节点设置为应用网关,通过应用网关,可以控制设备和用户对第三方应用程序的访问行为。
应用案例 应用网关
--dns
适用于Windows,Linux等操作系统
接受控制中心的DNS配置,默认为true
gmzta login --dns=false
其命令效果等同于“使用DNS设置”的可视化操作配置
以下是关于DNS域名解析的分析
//查看飞网的DNS服务器的域名解析结果
nslookup jiqia.aila.gmzta.net 100.100.100.100
服务器: unidns.localhost-gmzta-daemon
Address: 100.100.100.100
名称: jiqia.aila.gmzta.net
Address: 100.69.68.164
//当--dns=false时,控制面板开启UniDNS
ping jiqia.aila.gmzta.net
Ping 请求找不到主机 jiqia.aila.gmzta.net。请检查该名称,然后重试。
//当--dns=true时,控制面板开启UniDNS
ping jiqia.aila.gmzta.net
正在 Ping jiqia.aila.gmzta.net. [100.69.68.164] 具有 32 字节的数据:
来自 100.69.68.164 的回复: 字节=32 时间=50ms TTL=64
来自 100.69.68.164 的回复: 字节=32 时间=36ms TTL=64
来自 100.69.68.164 的回复: 字节=32 时间=41ms TTL=64
来自 100.69.68.164 的回复: 字节=32 时间=42ms TTL=64
100.69.68.164 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 36ms,最长 = 50ms,平均 = 42ms
应用案例 开启并使用UniDNS
--forbidincoming
适用于Windows,Linux等操作系统
--forbidincoming=true禁止入方向的网络连接,默认为false,加入飞网的其他设备无法通过飞网网络访问开启此功能的设备。
gmzta login --forbidincoming=true
其命令效果等同于“允许传入连接”的可视化操作配置
--hostname
适用于Windows,Linux等操作系统
--hostname string 修改为要使用的主机名,默认为操作系统的主机名
示例:将该设备的主机名修改为shebeia
gmzta login --hostname shebeia
--login-server
适用于Windows,Linux等操作系统
登录到指定的控制中心 (默认为 https://auth.gmzta.com:44300)
--netfiler
适用Linux操作系统
使用指定的网络过滤配置,不指定时则允许所以流量,可选值为(off、nodivert或on)默认为on。如果您设置为no或 nodivert,您需要为飞网流量手动配置防火墙。
root@test:~#gmzta on --netfilter off
Warning:netfilter=off;configure iptables yourself.
--nickname
适用于Windows,Linux等操作系统
--nickname string 修改当前账号的昵称
示例:将当前账号的昵称修改为demouser
gmzta login --nickname demouser
--operator
适用Linux操作系统
Unix用户名,允许在没有sudo的情况下操作gmztad
--out
指定当前节点使用的飞网出口网关 (飞网IP地址或节点名称) , 若不指定则表示不使用出口网关。
前提条件:使用出口网关前您至少需要两个设备加入到飞网内,一台设备开启出口网关(具体参考如下--outnode章节)的情况下,另一台设备才可使用出口网关。
使用出口网关的设备通过命令行使用出口网关:
gmzta login --out 100.114.81.115
//100.114.81.115为开启出口网关的设备的飞网IP地址
对于Windows系统其命令效果等同于“使用出口网关”的可视化操作配置
应用案例 开启并使用出口网关
--outnode
适用于Windows,Linux等操作系统
当前节点开启出口网关功能,允许其它节点的飞网外部流量转发,默认为false
对于Linux系统开启此功能需要先启用IP转发
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf
通过命令行开启出口网关
gmzta login --outnode
对于Windows系统其命令效果等同于“开启出口网关”的可视化操作配置
应用案例 开启并使用出口网关
--outwithlan
适用于Windows,Linux等操作系统
当前节点使用出口网关功能时,同时允许本地网络的流量转发,默认为false
使用以下命令实现在使用出口网关的时,允许本地网络的流量转发
gmzta login --out <出口节点的飞网IP> --outwithlan=true
其命令效果等同于“允许通过出口网关访问本地网络”的可视化操作配置。
--qr
适用于Windows,Linux等操作系统
增加身份认证地址的二维码显示,默认为false
gmzta login --qr
--snatsubnet
适用Linux操作系统
源网络地址转换,默认为开启状态,此参数用于在子网网关上配置。子网网关,开启SNAT(源网络地址转换)功能时,会隐藏真实的源地址。例如在目标服务器抓包显示,源地址为子网网关的物理IP地址,此时进行网络监控时,探针无法识别真实的源地址。
子网网关,关闭SNAT(源网络地址转换)功能时,会显示飞网中的源地址。例如在目标服务器抓包显示,源地址为飞网中的虚拟IP地址,此时进行网络监控时,探针可以识别飞网源地址(地址范围:100.64.0.0/10)。此源地址与用户身份,设备指纹唯一绑定,该数据包请求不一定来自局域网,有可能是出差员工的设备。所以相较于物理IP地址,飞网源地址更加实用。
注:关闭SNAT(源网络地址转换)功能时,目标服务器需要增加配置:ip route add 100.64.0.0/10 via 192.168.28.214
截图说明:子网网关IP为192.168.28.214,目标服务器IP为192.168.28.215,源地址为100.122.191.61(此地址为飞网提供给设备的唯一IP地址)。
--ssh
适用Linux操作系统
运行飞网内置的SSH服务,该服务由访问控制策略管理,默认为false gmzta ssh的服务器组件仅在Linux操作系统上可用。
当一台设备需要允许接受来自飞网的SSH连接时,需要做以下配置
root@test:~# gmzta login --ssh
请访问如下地址进行身份验证:
https://nac.gmzta.com:44390/challenge/7d173d9f
需要您的团队网络管理员访问以下地址,并批准您设备的上线请求。:
https://nac.gmzta.com:44390/HachineInfo/index
验证成功
应用案例 使用飞网SSH
--statefulfiltering
适用Linux操作系统
开启或关闭本机的状态过滤功能。该功能检查每个数据包的头部信息(如 IP 地址、端口号等),同时跟踪每个连接的状态,并根据连接状态来决定是否允许数据包通过。当启用状态过滤时,只有与已连接相关的流量才能进入网络,否则将被丢弃。该功能默认未开启。
--subnet
适用于Windows,Linux等操作系统
使用控制中心推送的子网配置,Windows系统默认为true,Linux系统默认为false
使用以下命令允许使用子网网关
gmzta login --subnet=true
其命令效果等同于“使用子网网关”的可视化操作配置。
--subnetnode
适用于Windows,Linux等操作系统
开启子网网关功能,需指定一个或多个子网范围并以逗号分隔,若不指定则表示关闭子网网关功能
对于Linux系统开启子网网关的功能需要先启用IP转发
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf
然后通过命令行开启子网网关
gmzta login --subnetnode=192.168.1.0/24,10.0.0.0/24
//将上面示例中的子网替换为适合您的网络的子网。
应用案例 开启并使用子网网关
--tags
适用于Windows,Linux等操作系统
指定当前设备的一个或多个访问控制标识并以逗号分隔,该功能需要配合访问控制策略使用。如:"tag:dev,tag:ssh"
示例:
通过运行以下命令给设备打上相应的标签
gmzta on --tags=tag:server
如果要为设备分配多个标签,请按以下方式用逗号分隔它们:
gmzta on --tags=tag:server,tag:abc
若要取消标签作并将设备恢复为由其经过身份验证的用户标识,可以将--tags参数设置为空。
gmzta on --tags=
--timeout
适用于Windows,Linux等操作系统
配置等待gmztad服务正常化的超时时间,默认为 0s
//将时间设置为10s
gmzta login --timeout=10s
--token
适用于Windows,Linux等操作系统
设置节点授权密钥;若以"file:"开头,则为包含授权密钥的文件路径,授权密钥可从控制面板的密钥设置页面生成。
gmzta login --token <授权密钥字符串>
--unattended
适用于Windows操作系统
--unattended=true开启“无人值守模式”,若当前操作系统用户注销登录后飞网仍将正常运行,该功能仅针对Windows操作系统,默认为false
gmzta login --unattended=true
其命令效果等同于“无人值守”的可视化操作配置。