Wie deaktiviere ich NAT für IPv6 (NAT66)?

Das aktuelle Ubuntu LTS unterstützt keine NAT-Tabellen für IPv6 (dh es gibt keine ip6tables -t nat), und ich bin damit einverstanden. Tatsächlich ist eine NAT-freie Umgebung der "Kern" meiner Netzwerke.

Das nächste Ubuntu LTS wird jedoch Unterstützung für IPv6-NAT-Tabellen hinzufügen. Das Problem ist, dass ich "Befehle" habe, dies in meinem IPv6-Netzwerk nicht zuzulassen. Ich meine, wir werden NAT66 (NAT für IPv6) nicht unterstützen.

Also muss ich sicherstellen, dass ip6tables -t natdas hier nicht funktioniert. Wie kann ich es deaktivieren?

Kann ich nur einige Kernelmodule auf die schwarze Liste setzen? Sysctl?

— ThiagoCMC
quelle

Antworten:

Das IPv6-NAT-Modul hat den Namen nf_nat_ipv6, daher sollte es ausreichen, dieses Modul auf die schwarze Liste zu setzen .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— Michael Hampton
quelle

Diese Blacklist-Technik funktioniert nicht. nf_nat_ipv6 ist dort, auf der schwarzen Liste, aber wenn ich "ip6tables -t nat -L -nv" ausführe, erscheint das Modul. Bitte, NAT66 ist völlig unerwünscht, unnötig und ich muss sicherstellen, dass es deaktiviert ist.

— ThiagoCMC

Aber dann werde ich das Paket "linux-image-generic" brechen ... Und nach einem System-Upgrade wird dieses gruselige Modul wieder angezeigt ... Ich verstehe wirklich nicht, warum dieses Ding standardmäßig aktiviert ist, NAT66 ist unerwünscht. Die Leute müssen über NAT hinwegkommen (was nur eine Problemumgehung für IPv4-Netzwerke ist), auf Ubuntu-Leute kommen ... Tun Sie dies nicht, geben Sie mir eine professionelle Möglichkeit, NAT66 zu deaktivieren ... IPv6 benötigt KEIN NAT und Dies bringt Probleme in eine Welt (IPv6), die keine Probleme hat. :-P

— ThiagoCMC

@ user2512727 Ich verstehe es auch nicht. Dieses spezielle Codebit sollte niemals geschrieben oder gar bereitgestellt worden sein.

— Michael Hampton

Der sudoTeil des Befehls nützt Ihnen nichts. Dies gilt nur für den echoBefehl (für den keine besonderen Berechtigungen erforderlich sind). Die Umleitung, für die Berechtigungen erforderlich sind, wird vor sudo ausgeführt. Der Befehl wird also nur mit fehlschlagen bash: /etc/modprobe.d/blacklist: Permission denied. Aber vielleicht echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistkönnte es besser funktionieren.

— Kasperd

@ThiagoCMC Warum ist es standardmäßig aktiviert? Sofern Sie keine Regeln erstellen, die das Modul benötigen, sollte es niemals geladen werden. Ich befürchte jedoch, dass ein solches Modul mehr schaden als nützen wird. Die sinnvollen Anwendungsfälle für NAT66 sind äußerst selten. Die NAT66-Funktionalität wird eher von Personen verwendet, die zu viel IPv4 ausgesetzt waren und jetzt unter der Täuschung leiden, dass NAT eine gute Idee ist.

— rfc2460

Der richtige Weg, solche Module auf die schwarze Liste zu setzen, ist wie folgt:

Fügen Sie in Ihre Blacklist-Datei die folgende Zeile ein und ersetzen Sie "(Modulname)" durch den Namen des Moduls, wie in lsmod angezeigt

install (module_name) /bin/false

Dies ist eine Direktive auf Kernelebene, die für keine Distribution spezifisch ist. Weitere Informationen zur installRichtlinie finden Sie in man modprobe.conf.

— Speeddymon
quelle