Làm cách nào để tắt NAT cho IPv6 (NAT66)?

Ubuntu LTS hiện tại không hỗ trợ các bảng NAT cho IPv6 (nghĩa là không có ip6tables -t nat) và thực tế, tôi rất ổn với điều đó, trên thực tế, môi trường không có NAT là "lõi" của các mạng của tôi.

Tuy nhiên, Ubuntu LTS tiếp theo sẽ thêm hỗ trợ cho các bảng NAT NAT và, vấn đề là, tôi có "đơn đặt hàng" không cho phép nó trong mạng IPv6 của tôi, ý tôi là, chúng tôi sẽ không hỗ trợ NAT66 (NAT cho IPv6).

Vì vậy, tôi cần đảm bảo rằng nó ip6tables -t natsẽ không hoạt động ở đây. Làm thế nào tôi có thể vô hiệu hóa nó?

Tôi chỉ có thể liệt kê một số mô-đun hạt nhân? Sysctl?

— ThiagoCMC
nguồn

Câu trả lời:

Mô-đun IPv6 NAT được đặt tên nf_nat_ipv6, vì vậy nó phải đủ để đưa vào danh sách đen mô-đun đó .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— Michael Hampton
nguồn

Kỹ thuật danh sách đen đó không hoạt động. nf_nat_ipv6 ở đó, nằm trong danh sách đen nhưng, nếu tôi chạy "ip6tables -t nat -L -nv", mô-đun xuất hiện. Xin vui lòng, NAT66 hoàn toàn không mong muốn, không cần thiết và tôi cần đảm bảo rằng nó bị vô hiệu hóa.

— ThiagoCMC

Nhưng sau đó, tôi sẽ phá vỡ gói "linux-image-generic" ... Và sau khi nâng cấp hệ thống, mô-đun đáng sợ đó sẽ xuất hiện trở lại ... Tôi thực sự không hiểu tại sao thứ này được bật theo mặc định, NAT66 là không mong muốn Mọi người cần phải vượt qua NAT (vốn chỉ là giải pháp của các mạng IPv4), hãy đến với các bạn Ubuntu ... Đừng làm điều này, hãy cho tôi một cách chuyên nghiệp để vô hiệu hóa NAT66 ... IPv6 KHÔNG cần bất kỳ loại NAT nào và điều này sẽ mang lại vấn đề cho một thế giới (IPv6) không có vấn đề gì. :-P

— ThiagoCMC

@ user2512727 Tôi cũng không hiểu. Mã đặc biệt này không bao giờ nên được viết , hãy để một mình triển khai.

— Michael Hampton

Một sudophần của lệnh không làm bạn tốt chút nào. Nó chỉ áp dụng cho echolệnh (không cần đặc quyền). Việc chuyển hướng, cần đặc quyền, được thực hiện trước sudo. Vì vậy, lệnh sẽ thất bại với bash: /etc/modprobe.d/blacklist: Permission denied. Nhưng có lẽ echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistcó thể làm việc tốt hơn.

— kasperd

@ThiagoCMC Tại sao bạn nói nó được bật theo mặc định? Trừ khi bạn tạo các quy tắc cần mô-đun, nó không bao giờ được tải. Điều đó nói rằng tôi sợ một mô-đun như vậy sẽ làm hại nhiều hơn là tốt. Các trường hợp sử dụng hợp lý cho NAT66 là cực kỳ hiếm. Chức năng NAT66 nhiều khả năng sẽ được sử dụng bởi những người tiếp xúc quá nhiều với IPv4 và giờ bị ảo tưởng rằng NAT là một ý tưởng tốt.

— rfc2460

Cách thích hợp để mô-đun danh sách đen như sau:

Trong tệp danh sách đen của bạn, chèn dòng sau, thay thế "(module_name)" bằng tên của mô-đun như hiển thị trong lsmod

install (module_name) /bin/false

Đây là một chỉ thị cấp kernel và không dành riêng cho bất kỳ phân phối nào. Bạn có thể tìm thêm về installchỉ thị trong man modprobe.conf.

— Speeddymon
nguồn