Feature: Home page rewrite, AsciinemaPlayer terminalFontSize prop + max-width

remrearas · remrearas · commit e9107b0960b5 · 2026-03-27T03:22:01.000+03:00
diff --git a/www/src/pages/docs/home/pages/index/index.en.mdx b/www/src/pages/docs/home/pages/index/index.en.mdx
@@ -1,9 +1,73 @@
+import Mermaid from '@shared/components/visualization/Mermaid';
 import AsciinemaPlayer from '@shared/components/visualization/AsciinemaPlayer';
 import { InlineNotification } from '@carbon/react';
 
 # Phantom-WG
 
-***Phantom-WG Modern*** is a WireGuard®-based VPN management platform. All components run within a Docker container architecture, and the core component Phantom Daemon communicates over Unix Domain Socket (UDS).
+***Phantom-WG*** is a modular tool that lets you set up and manage a WireGuard VPN infrastructure on your own server. Beyond basic VPN management, it offers censorship-resistant connections, multi-layered encryption, and advanced privacy scenarios.
+
+***Phantom-WG Modern*** is the container-native implementation of this vision. All components run within Docker and are isolated from the host system:
+
+- **Userspace WireGuard** — Container-scoped TUN device via Go FFI bridge. No kernel module required, does not touch the host's network namespace.
+- **nftables netlink FFI** — Rust backend communicates directly with the kernel. No subprocess calls, firewall rules are managed programmatically.
+- **SQLite State Persistence** — All state is stored in SQLite databases. A daemon restart after a crash is sufficient — kernel state is rebuilt from the DB.
+- **Dual-Stack IPv6** — Even without IPv6 on the host, an IPv6 subnet is assigned within the container and traffic is carried through the tunnel.
+- **Container Isolation** — `NET_ADMIN` + `NET_RAW` is sufficient. WireGuard interfaces live within the container namespace. Configurations that weaken host security such as `SYS_ADMIN`, `privileged`, or `host` network mode are not used.
+
+---
+
+## Topology
+
+Three containers, managed via Docker Compose. Management traffic passes through TLS + JWT authentication, WireGuard traffic reaches the daemon directly.
+
+<Mermaid chart={`flowchart
+    A[Internet] -->|"HTTPS :443"| B[nginx]
+    B --> C[auth-service]
+    C <-->|"UDS"| D[daemon]
+    A -->|"WireGuard :51820/udp"| D
+`} />
+
+| Component        | Role                                                                                                |
+|------------------|-----------------------------------------------------------------------------------------------------|
+| **nginx**        | TLS termination, React SPA (static compiled files), reverse proxy configuration                     |
+| **auth-service** | Comprehensive authentication system, API proxy to daemon over UDS                                   |
+| **daemon**       | Userspace WireGuard (Go FFI), nftables firewall (Rust FFI), client and tunnel management, databases |
+
+---
+
+## Key Features
+
+### Bridge Architecture
+
+The daemon performs system-level operations through two native bridges. Python manages the business logic, bridges communicate directly with the kernel.
+
+<Mermaid chart={`graph
+    D["Daemon (Python)"] -->|"ctypes FFI"| WG["wireguard-go-bridge (Go)"]
+    D -->|"ctypes FFI"| FW["firewall-bridge (Rust)"]
+    WG --> TUN["TUN device"]
+    FW --> NFT["nftables kernel"]
+`} />
+
+| Bridge                  | Language | Responsibility                                         |
+|-------------------------|----------|--------------------------------------------------------|
+| **wireguard-go-bridge** | Go       | Userspace WireGuard, TUN device, IPC state persistence |
+| **firewall-bridge**     | Rust     | nftables rule groups, policy routing, preset system    |
+
+### Multihop Exit Routing
+
+You can define your exit tunnel to route traffic through an external WireGuard VPN server. IPv4 and IPv6 tunnels are supported simultaneously.
+
+<Mermaid chart={`flowchart LR
+    C[Client] -->|"WireGuard"| M["wg_main"] -->|"forward + masquerade"| E["wg_exit"] --> X[Exit Server]
+`} />
+
+### IPv6 Dual-Stack
+
+IPv6 support across all layers — firewall rules, policy routing, masquerade, and multihop presets operate with `family: 10` (AF_INET6). IPv6 tunnel traffic can be carried from within the container even without an IPv6 address on the host.
+
+### Crash Recovery
+
+When the service starts, kernel state (nftables rules, routing policies) is rebuilt from SQLite state databases. No data loss after an unexpected shutdown.
 
 ---
 
@@ -17,12 +81,12 @@ curl -sSL get.phantom.tc | bash
 
 <AsciinemaPlayer src="/assets/phantom-wg-install.cast" />
 
-### Setup
+### Configuration
 
 ```bash
 cd phantom-wg
 
-# First-time setup (keys, auth DB, TLS certificate, env files)
+# First-time setup
 ./tools/prod.sh setup
 
 # Endpoint configuration
@@ -40,10 +104,87 @@ sed -i "s/^WIREGUARD_ENDPOINT_V6=.*/WIREGUARD_ENDPOINT_V6=${IPV6}/" .env.daemon
 - WireGuard: UDP port `51820`
 - Admin password: `cat container-data/secrets/production/.admin_password`
 
+#### Access from VPN
+
+To access the dashboard while connected to the VPN, use the nginx container's Docker network address:
+
+```bash
+docker inspect phantom-nginx --format '{{range .NetworkSettings.Networks}}IPv4: {{.IPAddress}} | IPv6: {{.GlobalIPv6Address}}{{end}}'
+```
+
+Accessible via `https://<IPv4>` or `https://[<IPv6>]` through the tunnel. You can also remove the `ports: "443:443"` line from `docker-compose.yml` to make the dashboard accessible only through the VPN tunnel.
+
+---
+
+## Management
+
+A convenient tool is available at `./tools/prod.sh` for management.
+
+| Command                 | Description                                  |
+|-------------------------|----------------------------------------------|
+| `setup`                 | Full Setup                                   |
+| `up`                    | Start                                        |
+| `down`                  | Stop                                         |
+| `restart [service]`     | Restart (All or Specific Service)            |
+| `build`                 | Build Images                                 |
+| `rebuild`               | Build Images from Scratch (no-cache)         |
+| `update`                | Update (git pull + restart)                  |
+| `update --skip-compose` | Update (exclude docker-compose.yml)          |
+| `logs [service]`        | Log Tracking (All or Specific Service)       |
+| `status`                | Docker Compose Status                        |
+| `show-versions`         | Component Versions (Daemon, Vendor Packages) |
+| `shell [service]`       | Shell (default: daemon)                      |
+| `exec <svc> <cmd>`      | Execute Command                              |
+| `hard-reset`            | Delete All Data                              |
+
+### Setup
+
+The `setup` command creates all required components during first-time installation:
+
+1. Creates `.env.daemon` and `.env.auth-service` files from `.example` templates.
+2. Generates WireGuard server key pair. (Curve25519 — `wg_private_key`, `wg_public_key`)
+3. Auth-Service bootstrap cycle:
+   - Generates Ed25519 signing key pair. (`auth_signing_key`, `auth_verify_key`)
+   - Creates auth database. (`auth.db` — users, sessions, TOTP, audit log)
+   - Creates admin account. (32-character random password encrypted with Argon2id hash)
+4. Generates self-signed TLS certificate for nginx. (`tls_cert`, `tls_key`)
+
+All of these operations take place within the container — no additional dependencies or tools need to be installed on the host.
+
+<InlineNotification
+  kind="info"
+  title="Secret Keys"
+  subtitle="Secret keys are stored under container-data/secrets/production/. The admin password is written to .admin_password in the same directory — you can safely remove it after logging in."
+  hideCloseButton
+  lowContrast
+/>
+
+### Updating
+
+```bash
+./tools/prod.sh update                 # git pull + restart
+./tools/prod.sh update --skip-compose  # Preserve compose file
+```
+
+<InlineNotification
+  kind="info"
+  title="Compose Protection"
+  subtitle="If you have made configuration changes to docker-compose.yml and want to receive updates, use --skip-compose."
+  hideCloseButton
+  lowContrast
+/>
+
+For package dependency changes that require container recompilation (Dockerfile, requirements.txt):
+
+```bash
+./tools/prod.sh rebuild
+./tools/prod.sh up
+```
+
 <InlineNotification
   kind="info"
-  title="Detailed guide"
-  subtitle="See the SETUP file for all commands, environment variables, and update instructions."
+  title="Build vs Update"
+  subtitle="Dockerfiles only provide the system dependencies needed for the stack to run. Code updates are received with the update command — rebuild is only required when these dependencies change."
   hideCloseButton
   lowContrast
 />
diff --git a/www/src/pages/docs/home/pages/index/index.mdx b/www/src/pages/docs/home/pages/index/index.mdx
@@ -1,9 +1,73 @@
+import Mermaid from '@shared/components/visualization/Mermaid';
 import AsciinemaPlayer from '@shared/components/visualization/AsciinemaPlayer';
 import { InlineNotification } from '@carbon/react';
 
 # Phantom-WG
 
-***Phantom-WG Modern***, WireGuard® tabanlı bir VPN yönetim platformudur. Tüm bileşenler Docker container yapısı içerisinde çalışır ve asıl işi yapan Phantom Daemon Unix Domain Socket (UDS) üzerinden haberleşir.
+***Phantom-WG***, kendi sunucunuzda WireGuard VPN altyapısı kurmanızı ve yönetmenizi sağlayan modüler bir araçtır. Temel VPN yönetiminin ötesinde; sansüre dayanıklı bağlantılar, çok katmanlı şifreleme ve gelişmiş gizlilik senaryoları sunar.
+
+***Phantom-WG Modern***, bu vizyonun container-native implementasyonudur. Tüm bileşenler Docker yapısı içerisinde çalışır ve host sistemden izole edilir:
+
+- **Userspace WireGuard** — Go FFI bridge ile container-scoped TUN device. Kernel modülü gerektirmez, host'un network namespace'ine dokunmaz.
+- **nftables netlink FFI** — Rust backend doğrudan kernel ile konuşur. Subprocess çağrısı yoktur, firewall kuralları programatik olarak yönetilir.
+- **SQLite State Persistence** — Tüm state SQLite veritabanlarında tutulur. Crash sonrası daemon restart yeterlidir — kernel state DB'den yeniden oluşturulur.
+- **Dual-Stack IPv6** — Host'ta IPv6 olmasa bile container içinde IPv6 subnet atanır, tünel içinde trafik taşınabilir.
+- **Container İzolasyonu** — `NET_ADMIN` + `NET_RAW` yeterlidir. WireGuard arayüzleri container namespace içerisinde yaşar. `SYS_ADMIN`, `privileged` veya `host` network mode gibi host güvenliğini zayıflatan konfigürasyonlar kullanılmaz.
+
+---
+
+## Topoloji
+
+Üç container, Docker Compose ile yönetilir. Yönetim trafiği TLS + JWT kimlik doğrulamadan geçer, WireGuard trafiği doğrudan daemon'a ulaşır.
+
+<Mermaid chart={`flowchart
+    A[Internet] -->|"HTTPS :443"| B[nginx]
+    B --> C[auth-service]
+    C <-->|"UDS"| D[daemon]
+    A -->|"WireGuard :51820/udp"| D
+`} />
+
+| Bileşen          | Görev                                                                                                |
+|------------------|------------------------------------------------------------------------------------------------------|
+| **nginx**        | TLS sonlandırma, React SPA (Statik Derlenmiş Dosyalar), Reverse Proxy Yapılandırması                 |
+| **auth-service** | Kapsamlı Kimlik Doğrulama (Authentication) Sistemi, UDS üzerinden daemon'a API proxy                 |
+| **daemon**       | Userspace WireGuard (Go FFI), nftables firewall (Rust FFI), İstemci ve Tünel yönetimi, Veritabanları |
+
+---
+
+## Temel Özellikler
+
+### Bridge Mimarisi
+
+Daemon, sistem düzeyindeki işlemleri iki native bridge aracılığıyla gerçekleştirir. Python iş mantığını yönetir, bridge'ler kernel ile doğrudan iletişim kurar.
+
+<Mermaid chart={`graph
+    D["Daemon (Python)"] -->|"ctypes FFI"| WG["wireguard-go-bridge (Go)"]
+    D -->|"ctypes FFI"| FW["firewall-bridge (Rust)"]
+    WG --> TUN["TUN device"]
+    FW --> NFT["nftables kernel"]
+`} />
+
+| Bridge                  | Dil  | Sorumluluk                                              |
+|-------------------------|------|---------------------------------------------------------|
+| **wireguard-go-bridge** | Go   | Userspace WireGuard, TUN device, IPC state persistence  |
+| **firewall-bridge**     | Rust | nftables kural grupları, policy routing, preset sistemi |
+
+### Multihop Exit Routing
+
+Trafiğinizi harici bir WireGuard VPN sunucusu üzerinden aktarmak için exit tünelinizi tanımlayabilirsiniz. IPv4 ve IPv6 tünelleri eş zamanlı olarak desteklenir.
+
+<Mermaid chart={`flowchart LR
+    C[Client] -->|"WireGuard"| M["wg_main"] -->|"forward + masquerade"| E["wg_exit"] --> X[Exit Server]
+`} />
+
+### IPv6 Dual-Stack
+
+IPv6 desteği tüm katmanlarda — firewall kuralları, policy routing, masquerade ve multihop preset'leri `family: 10` (AF_INET6) ile çalışır. Host'ta IPv6 adresi olmadan da container içinden IPv6 tünel trafiği taşınabilir.
+
+### Crash Recovery
+
+Servis başlatıldığında kernel state (nftables kuralları, routing policy'leri) SQLite durum veritabanlarından yeniden oluşturulur. Beklenmeyen kapanma sonrası veri kaybı yaşanmaz.
 
 ---
 
@@ -22,7 +86,7 @@ curl -sSL get.phantom.tc | bash
 ```bash
 cd phantom-wg
 
-# İlk kurulum (anahtarlar, auth DB, TLS sertifikası, env dosyaları)
+# İlk kurulum
 ./tools/prod.sh setup
 
 # Endpoint yapılandırması
@@ -40,10 +104,87 @@ sed -i "s/^WIREGUARD_ENDPOINT_V6=.*/WIREGUARD_ENDPOINT_V6=${IPV6}/" .env.daemon
 - WireGuard: UDP port `51820`
 - Admin şifresi: `cat container-data/secrets/production/.admin_password`
 
+#### VPN İçinden Erişim
+
+VPN'e bağlıyken kontrol paneline erişmek için nginx container'ın Docker network adresini kullanabilirsiniz:
+
+```bash
+docker inspect phantom-nginx --format '{{range .NetworkSettings.Networks}}IPv4: {{.IPAddress}} | IPv6: {{.GlobalIPv6Address}}{{end}}'
+```
+
+Tünel içerisinden `https://<IPv4>` veya `https://[<IPv6>]` adresi ile erişilebilir. Dilerseniz `docker-compose.yml` dosyasından `ports: "443:443"` satırını kaldırarak kontrol panelini yalnızca VPN tüneli üzerinden erişilebilir hale getirebilirsiniz.
+
+---
+
+## Yönetim
+
+Yönetim için `./tools/prod.sh` konumunda kullanışlı bir araç bulunur.
+
+| Komut                   | Açıklama                                        |
+|-------------------------|-------------------------------------------------|
+| `setup`                 | Tam Kurulum                                     |
+| `up`                    | Başlat                                          |
+| `down`                  | Durdur                                          |
+| `restart [service]`     | Yeniden Başlat (Tümü veya Belirli Servis)       |
+| `build`                 | İmaj Derle                                      |
+| `rebuild`               | Sıfırdan İmaj Derle (no-cache)                  |
+| `update`                | Güncelle (git pull + restart)                   |
+| `update --skip-compose` | Güncelle (docker-compose.yml hariç tut)         |
+| `logs [service]`        | Log Takibi (Tümü veya Belirli Servis)           |
+| `status`                | Docker Compose Durumu                           |
+| `show-versions`         | Bileşen Versiyonları (Daemon, Vendor Paketleri) |
+| `shell [service]`       | Shell (varsayılan: daemon)                      |
+| `exec <svc> <cmd>`      | Komut Çalıştır                                  |
+| `hard-reset`            | Tüm Veriyi Sil                                  |
+
+### Kurulum
+
+`setup` komutu ilk kurulumda gerekli tüm bileşenleri oluşturur:
+
+1. `.env.daemon` ve `.env.auth-service` dosyalarını `.example` şablonlarından oluşturur.
+2. WireGuard sunucu anahtar çifti üretir. (Curve25519 — `wg_private_key`, `wg_public_key`)
+3. Auth-Service için bootstrap döngüsü:
+   - Ed25519 imzalama anahtar çifti üretir. (`auth_signing_key`, `auth_verify_key`)
+   - Auth veritabanını oluşturur. (`auth.db` — kullanıcılar, oturumlar, TOTP, audit log)
+   - Admin hesabı oluşturur. (Argon2id hash ile şifrelenen 32 karakterlik rastgele şifre)
+4. Nginx için self-signed TLS sertifikası üretir. (`tls_cert`, `tls_key`)
+
+Tüm bu işlemler container içerisinde gerçekleşir — host tarafında ek bir bağımlılık veya araç kurulumu gerekmez.
+
+<InlineNotification
+  kind="info"
+  title="Gizli Anahtarlar"
+  subtitle="Gizli anahtarlar container-data/secrets/production/ altında saklanır. Admin şifresi aynı dizindeki .admin_password dosyasına yazılır — giriş yaptıktan sonra güvenle kaldırabilirsiniz."
+  hideCloseButton
+  lowContrast
+/>
+
+### Güncelleme
+
+```bash
+./tools/prod.sh update                 # git pull + restart
+./tools/prod.sh update --skip-compose  # Compose dosyasını koru
+```
+
+<InlineNotification
+  kind="info"
+  title="Compose Koruması"
+  subtitle="docker-compose.yml üzerinde bir yapılandırma değişikliği yaptıysanız ve güncellemeleri almak istiyorsanız --skip-compose kullanın."
+  hideCloseButton
+  lowContrast
+/>
+
+Tekrardan container derlemesi gerektirecek paket bağımlılıkları değişikliklerinde (Dockerfile, requirements.txt):
+
+```bash
+./tools/prod.sh rebuild
+./tools/prod.sh up
+```
+
 <InlineNotification
   kind="info"
-  title="Detaylı rehber"
-  subtitle="Tüm komutlar, ortam değişkenleri ve güncelleme adımları için SETUP dosyasına bakın."
+  title="Build ve Update Farkı"
+  subtitle="Dockerfile'lar yalnızca yapının çalışması için gereken sistem bağımlılıklarını sağlar. Kod güncellemeleri update komutuyla alınır — rebuild yalnızca bu bağımlılıklar değiştiğinde gereklidir."
   hideCloseButton
   lowContrast
 />
diff --git a/www/src/shared/components/visualization/AsciinemaPlayer.tsx b/www/src/shared/components/visualization/AsciinemaPlayer.tsx
@@ -14,6 +14,7 @@ interface AsciinemaPlayerProps {
   loop?: boolean;
   speed?: number;
   idleTimeLimit?: number;
+  terminalFontSize?: string;
   fit?: 'width' | 'height' | 'both' | 'none';
   className?: string;
 }
@@ -36,6 +37,7 @@ const AsciinemaPlayerCore: React.FC<AsciinemaPlayerProps> = ({
   loop = true,
   speed = 1,
   idleTimeLimit = 2,
+  terminalFontSize,
   fit = 'width',
   className = '',
 }) => {
@@ -71,6 +73,7 @@ const AsciinemaPlayerCore: React.FC<AsciinemaPlayerProps> = ({
         idleTimeLimit,
         fit,
         theme: theme === 'g100' ? 'solarized-dark' : 'solarized-light',
+        ...(terminalFontSize ? { terminalFontSize } : {}),
       });
 
       setLoaded(true);
@@ -83,7 +86,7 @@ const AsciinemaPlayerCore: React.FC<AsciinemaPlayerProps> = ({
         playerRef.current = null;
       }
     };
-  }, [src, theme, cols, rows, autoPlay, loop, speed, idleTimeLimit, fit]);
+  }, [src, theme, cols, rows, autoPlay, loop, speed, idleTimeLimit, terminalFontSize, fit]);
 
   return (
     <div className={`asciinema-player-wrapper ${className}`}>
diff --git a/www/src/shared/components/visualization/styles/AsciinemaPlayer.scss b/www/src/shared/components/visualization/styles/AsciinemaPlayer.scss
@@ -1,6 +1,7 @@
 @use '@carbon/react/scss/spacing' as sp;
 
 .asciinema-player-wrapper {
+  max-width: 820px;
   margin-bottom: sp.$spacing-07;
   border-radius: 8px;
   overflow: hidden;
