失控小歪 发表于 2023-3-21 16:03:49

Panabit核心代号“唐r4”版本发布

一. 优化改进

新增威胁情报模块*

*注:威胁情报模块仅支持除PN外的专业版,其余版本均不支持。
威胁情报模块可以对命中威胁特征库中所提供的的域名、IP地址,做监测、阻断、记录日志等动作。当开启监测后,访问到威胁情报库中的IP、域名后,在情报概况中可以查看情报命中趋势、情报类型命中分布、以及源IP、目的IP、源MAC等信息。阻断选项开启后,会对命中情报的会话做阻断。记录日志选项开启后,会将命中情报日志信息发送到Panalog。支持白名单功能,加入白名单的IP和域名,不会命中情报,不会做相应的动作。



离线威胁情报库:

支持全锥型NAT全锥形NAT(full cone NAT),即从内网的(IP,端口)发送出来的请求都会被映射到同一个外网(IP,端口),且任何一个外网主机都可以通过访问映射后的公网地址,实现访问位于内网的主机设备功能。有了这个功能,可以使得一些需要使用UPNP技术联网的游戏能够联网成功。Panabit的全锥形NAT特性如下:
1)目标端口为1024以下的会话,不会触发全锥型NAT动作,即便策略里指定了也不行;
2)针对一些有名的目标端口如5353,1900,也会忽略;
3)如果会话触发了全锥型NAT策略,Panabit在做SNAT的同时,将外网IP和NAT端口动态映射到内网IP和内网端口上,这个映射在这条触发映射的会话周期内一直存在,会话消失后系统会将映射关系解除;
4)动态端口映射条目有限制,与设备型号有关系。使用floweye dynpm stat可以查看当前已经分配条目(count)和支持的最大条目(pool_size);
5)如果内存允许,可以在/etc/PG.conf里通过设置DYNPM_POOLSZ变量来扩大最大可支持的动态端口映射条目;配置方法
在配置NAT策略时,将全锥形NAT选项勾选即可
IPSEC模块优化IPSEC模块解除了对openssl库的依赖,同时支持国密。
IP群组算法优化 优化IP群组查找算法,提升效率。
PPPOE代拨模块优化在代拨场景中,1个代拨账号是可以对应多个内网用户的,如果代拨账号已经在线,新内网用户使用同样的代拨账号上线,如果AAA传递来的代拨绑定里关于代拨的地址池参数和已经在线的不一致,会代拨失败。在修改之前,Panabit是不会检查这些参数的,直接告诉用户代拨成功。
更新ARM设备驱动更新8111H、8211FS、STMMAC等驱动
改进授权机制针对PN5000及以下PN租赁版本授权,如果使用的是官方机,每个注册IP额外增加一些并发连接,最多可以增加原有授权的20%。非官方机最多增加10%。PE规格系列的授权,只适用于AX系列的硬件,非AX系列硬件无法导入PE规格的授权。

优化GRELAN线路支持当GRE承载地址与LAN口地址不在一个子网的场景。
例如:UPF设备要与Panabit的LAN2的IP建立GRE,但是回程路由从是走LAN1。创建GRELAN的时候,承载线路选LAN2,下一跳填LAN1的对端IP。

GRE线路优化
增加线路IP的设置;
http管控优化
当终端用户被http管控后,用户需要网络管理员解除对自己的管控时,可以在HTTP管控的信息提示中看到自己的IP信息。方便一些对计算机不熟悉的用户能够快速知道自己的IP,并告知网络管理员。
优化告警模块
增加WAN线路Ping延迟监测告警功能
系统后台优化将ramdisk从64M调整到100M(重启生效)

策略路由优化
增加SNAT选项,在策略路由进行NAT时,可以直接在SNAT选项中填写NAT地址。命中策略后,数据包源地址会转换成SNAT选项内的地址,再从策略的WAN线路转发出去。可以同时填写单IP和IP范围,添加多个时用英文输入法中的逗号“,”间隔开。
优化代拨模块在只做代拨网关的场景下,代拨线路老化后,发送计费stop报文给AAA。这样的场景下,认证网关和代拨网关不是同一台设备,AAA同时对接认证网关和代拨网关,因此代拨线路下线后,代拨网关通过发送计费stop报文通知AAA。通过命令floweye ippxy config offline_notify=1 开启

优化rtentry模块rtentry模块是维护对内的ARP表项。这些表项默认是根据ARP报文自动生成,为了避免在ARP错误时产生对内路由不通的故障,因此增加一个能够手动维护这个表项的功能。增加静态ARP维护功能,使用floweye rtentry add ip=x.x.x.xdev=proxy-name mac=xx-xx-xx-xx-xx-xx 【vlan=n/m】增加一个静态ARP表项;使用floweye rtentry list输出后,最后一列表示表项的类型(dyn表示动态,perm表示静态);

优化MAC黑白名单将MAC黑白名单解除最大2048条的限制;

优化iWAN模块实现IPv6的数据可以通过IPv4的iWAN隧道进行路由转发。举例:A场所有IPv6和IPv4的出口,B场所只有IPv4的出口。IPv6的地址可以保证每个客户端都能拥有自己的IP,这个功能可以实现将A场所的IPv6地址,通过iWAN隧道,借给B场所使用。
二. BUG修复

修复在做web认证时,从iWAN SERVER接入的请求,不能从iWAN隧道反向302重定向的BUG
修复更改IPSEC 线路和iWAN线路的MTU设置不成功的BUG
修复新流控中策略组被禁用后,策略依然显示流量的BUG
修复panaos重启后数据通道调用状态不对的BUG
修复E810网卡接收组播报文异常的BUG
修复iWAN镜像时,iWAN线路没有统计到镜像数据包的BUG修复通过drcom接口关联用户组后IP无法使用用户组限速的BUG;
三. 页面更新

新增“界面全屏后不退出”的功能;
登录管理页面,增加Radius认证方式;这里要注意的是对接认证是通过管理口IP和radius服务器对接。
优化对接Panalog的页面;
新增日志对接编号分配方式,如果兼容编号为0,则使用12位授权编号作为设备编号和Panalog对接,如果兼容编号不为0,则使用所填的兼容编号作为设备编号和Panalog对接。特定的设备,不管兼容编号是否为0,都会使用授权编号。
单个删除IP群组/域名群组,增加相关策略的展示确认;
增加系统检测的功能;
优化SAC SSID管理页面,编辑按钮分为”编辑“、”绑定“两个按钮;
修复SAC页面无法删除空SSID的问题

优化端口映射,增加WAN线路IP展示;当策略映射IP使用默认0.0.0.0时,这里会显示对应WAN线路的IP。
WAN线路批量添加,增加线路名称重复时,可以选择“停止添加”或者“自动跳过”
SNMP服务,增加端口的设置;
线路群组,增加批量修改线路权重的功能;
增加列宽调整记忆功能,调整了页面表项的列宽后,可以自动保存。
增加ping检测功能,可以自定义检测对象,并设置阀值告警。
未导入授权,而官方硬件授权不为空的情况下,授权编号显示硬件授权。
四. 特征库

特征库协议更新更新“抖音”协议特征;更新“淘宝旺旺”协议特征;
更新“淘宝天猫”协议特征;
更新“Soul”协议特征;
更新“Classin”协议特征;
更新“向日葵”协议特征;更新“ACFUN”协议特征;更新“快手视频发布“协议特征;更新“iSpeak”协议特征;更新“爱奇艺”协议特征;更新“优酷”协议特征;更新“优酷移动”协议特征;更新“网易CC”协议特征;更新“FreeFire”协议特征;更新“第一视频”协议特征;
更新“小米应用商店”协议特征;
更新“华为应用商店”协议特征;
更新“易聊”协议特征;更新“HI5”协议特征;
更新“Facetime”协议特征;
更新“Slack”协议特征,使用了AWS Chime服务,合并到一起;
更新“Ngrok”协议特征;
更新“生死狙击”协议特征,从其它游戏挪到腾讯游戏组;
更新“暗黑3”协议特征;
更新“无畏”协议特征;更新“Smite”协议特征;
更新“地下城与勇士”协议特征;
更新“逆战”协议特征;
更新“QQ邮箱”;更新“网易邮箱”;更新“POP3”协议特征;
更新“IMAP”协议特征;
更新“剑侠世界”协议特征;
更新“梦幻诛仙”协议特征;更新“第一视频”协议特征;
更新“拼多多”协议特征;
更新“站长之家”协议特征;
更新“迅雷”协议特征;
更新“迅雷看看”协议特征;
更新“IPCN”协议特征;更新“生死狙击”协议特征;更新“少年三国志”协议特征,包含了“三国志战略版”;更新“奇迹世界”协议特征,包含了“奇迹”;更新“荒野行动”协议特征,包含了“荒野乱斗”;更新“Steam登录”协议特征;
更新“Steam更新”协议特征;

特征库协议变更新增“网易网吧”协议特征;新增“明日之后”协议特征,包括“无期迷途”;新增“轰炸机重生”协议特征;新增“一年逍遥”协议特征;新增“长安幻想”协议特征;新增“微信图片”协议特征;去掉“奇异加速器”协议特征;去掉“飞速土豆”协议特征;去掉“土豆网”协议特征;将“Wegame下载”调到“游戏维护”里。

五. 下载地址标准版:
Linux:
FreeBSD:
专业版:
Linux:
FreeBSD:
ARM:

网吧版:
Linux:
FreeBSD:

SMB版:
Linux:
FreeBSD:

下载升级时请注意选择正确的操作系统(FreeBSD/Linux)与版本(标准版/专业版/网吧版/SMB版)。其中,ARM架构的Panabit(如AX50系列),请选择ARM的专业版进行下载。





页: [1]
查看完整版本: Panabit核心代号“唐r4”版本发布