Come disabilitare NAT per IPv6 (NAT66)?

9

L'attuale Ubuntu LTS non supporta le tabelle NAT per IPv6 (ovvero non esiste ip6tables -t nat), e sto bene con questo, infatti, un ambiente senza NAT è il "core" delle mie reti.

Ma il prossimo Ubuntu LTS aggiungerà il supporto per le tabelle NAT IPv6 e, il problema è che ho "ordini" per non consentirlo all'interno della mia rete IPv6, voglio dire, non supporteremo NAT66 (NAT per IPv6).

Quindi, devo assicurarmi che ip6tables -t natnon funzionerà qui. Come posso disabilitarlo?

Posso solo inserire nella blacklist alcuni moduli del kernel? Sysctl?

12.04  iptables  ipv6  nat 
ThiagoCMC
fonte

Risposte:

6

Il modulo NAT IPv6 è chiamato nf_nat_ipv6, quindi dovrebbe essere sufficiente inserire nella lista nera quel modulo .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'
Michael Hampton
fonte
Quella tecnica della lista nera non funziona. nf_nat_ipv6 è lì, nella lista nera ma, se eseguo "ip6tables -t nat -L -nv", appare il modulo. Per favore, NAT66 è totalmente indesiderato, non necessario e devo assicurarmi che sia disabilitato.
ThiagoCMC il
1
Ma poi, romperò il pacchetto "linux-image-generic" ... E dopo un aggiornamento del sistema, quel modulo inquietante apparirà di nuovo ... Non capisco davvero perché questa cosa sia abilitata di default, NAT66 è indesiderati. Le persone hanno bisogno di superare NAT (che è solo una soluzione alternativa alle reti IPv4), dai ragazzi di Ubuntu ... Non farlo, dammi un modo professionale per disabilitare NAT66 ... IPv6 NON ha bisogno di alcun tipo di NAT e questo porterà problemi in un mondo (IPv6) che non ha alcun problema. :-P
ThiagoCMC il
4
@ user2512727 Neanche io capisco. Questo particolare bit di codice non avrebbe mai dovuto essere scritto , e tanto meno distribuito.
Michael Hampton,
1
La sudoparte del comando non ti fa nulla di buono. Si applica solo al echocomando (che non richiede privilegi speciali). Il reindirizzamento, che richiede privilegi, viene eseguito prima di sudo. Quindi il comando fallirà bash: /etc/modprobe.d/blacklist: Permission denied. Ma forse echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistpotrebbe funzionare meglio.
Kasperd,
1
@ThiagoCMC Perché dici che è abilitato di default? A meno che non si creino regole che richiedono il modulo, non dovrebbe mai essere caricato. Detto questo, temo che un tale modulo farà più male che bene. I casi d'uso sensati per NAT66 sono estremamente rari. È più probabile che la funzionalità NAT66 venga utilizzata da persone che hanno troppa esposizione a IPv4 e ora soffrono dell'illusione che NAT sia una buona idea.
rfc2460,
0

Il modo corretto di inserire nella blacklist moduli come questo è il seguente:

Nel file della tua lista nera, inserisci la seguente riga, sostituendo "(nome_modulo)" con il nome del modulo come mostrato in lsmod

install (module_name) /bin/false

Questa è una direttiva a livello di kernel e non specifica per nessuna distribuzione. Puoi trovare ulteriori informazioni sulla installdirettiva in man modprobe.conf.

Speeddymon
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.