Як відключити NAT для IPv6 (NAT66)?

Поточний Ubuntu LTS не підтримує таблиці NAT для IPv6 (тобто його немає ip6tables -t nat), і я добре з тим, що фактично середовище без NAT є "ядром" моїх мереж.

Але наступний Ubuntu LTS додасть підтримку таблиць NATv6 NAT, і проблема полягає в тому, що у мене "замовлення" не дозволяти це в моїй мережі IPv6, я маю на увазі, ми не будемо підтримувати NAT66 (NAT для IPv6).

Отже, мені потрібно переконатися, що ip6tables -t natтут не вийде. Як я можу його відключити?

Чи можу я просто переглядати деякі модулі ядра? Sysctl?

— ThiagoCMC
джерело

IPv6 NAT модуль названий nf_nat_ipv6, тому його має бути достатньо для чорного списку цього модуля .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— Майкл Хемптон
джерело

Ця техніка чорного списку не працює. nf_nat_ipv6 є в чорному списку, але, якщо я запускаю "ip6tables -t nat -L -nv", з'являється модуль. Будь ласка, NAT66 абсолютно небажаний, непотрібний, і мені потрібно переконатися, що він відключений.

— ThiagoCMC

Але тоді я порушу пакет "linux-image-generic" ... І після оновлення системи цей моторошний модуль знову з’явиться ... Я дійсно не розумію, чому ця річ включена за замовчуванням, NAT66 - небажаний. Людям потрібно подолати NAT (що є лише способом обміну мережами IPv4), заходьте на хлопців з Ubuntu ... Не робіть цього, дайте мені професійний спосіб відключити NAT66 ... IPv6 НЕ потребує будь-якого типу NAT і це доставить проблеми світові (IPv6), який не має жодних проблем. :-P

— ThiagoCMC

@ user2512727 Я також не розумію. Цей конкретний біт коду ніколи не слід було писати , не кажучи вже про розгортання.

— Майкл Хемптон

sudoЧастина команди не робить вам ніякої користі. Це стосується лише echoкоманди (яка не потребує спеціальних привілеїв). Перенаправлення, для якого потрібні привілеї, виконується перед судо. Тож команда просто зірветься bash: /etc/modprobe.d/blacklist: Permission denied. Але, можливо, echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistможе працювати і краще.

— kasperd

@ThiagoCMC Чому, на вашу думку, він увімкнено за замовчуванням? Якщо ви не створите правила, які потребують модуля, він ніколи не повинен завантажуватися. Це сказало, що я боюся, що такий модуль принесе більше шкоди, ніж користі. Розумні випадки використання NAT66 надзвичайно рідкісні. Функціональність NAT66 швидше використовується людьми, які надто сильно впливали на IPv4 і тепер страждають від омани, що NAT - хороша ідея.

— rfc2460

Правильний спосіб ввести у чорний список такі модулі:

У свій файл чорного списку вставити наступний рядок, замінивши "(ім'я_модуля)" на ім'я модуля, як показано в lsmod

install (module_name) /bin/false

Це директива рівня ядра і не характерна для будь-якого розповсюдження. Більше про installдирективу можна знайти в man modprobe.conf.

— Speeddymon
джерело