Как отключить NAT для IPv6 (NAT66)?

Текущая версия Ubuntu LTS не поддерживает таблицы NAT для IPv6 (то есть, нет ip6tables -t nat), и я согласен с тем, что фактически среда без NAT является «ядром» моих сетей.

Но в следующей Ubuntu LTS будет добавлена поддержка таблиц NAT IPv6, и проблема в том, что у меня есть «приказы» не разрешать его в моей сети IPv6, я имею в виду, что мы не будем поддерживать NAT66 (NAT для IPv6).

Итак, я должен убедиться, что ip6tables -t natздесь не сработает. Как я могу отключить это?

Могу ли я просто занести в черный список некоторые модули ядра? Sysctl?

— ThiagoCMC
источник

Модуль IPv6 NAT назван nf_nat_ipv6, поэтому его должно быть достаточно для внесения в черный список этого модуля .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— Майкл Хэмптон
источник

Эта техника черного списка не работает. nf_nat_ipv6 есть, занесен в черный список, но, если я запускаю «ip6tables -t nat -L -nv», модуль появляется. Пожалуйста, NAT66 совершенно не нужен, не нужен, и мне нужно убедиться, что он отключен.

— ThiagoCMC

Но тогда я сломаю пакет "linux-image-generic" ... И после обновления системы этот жуткий модуль появится снова ... Я действительно не понимаю, почему эта вещь включена по умолчанию, NAT66 нежелателен. Людям нужно преодолеть NAT (это просто обходной путь сетей IPv4), заходите на Ubuntu, ребята ... Не делайте этого, дайте мне профессиональный способ отключить NAT66 ... IPv6 НЕ нуждается в каком-либо NAT и это принесет проблемы в мир (IPv6), в котором нет проблем. :-P

— ThiagoCMC

@ user2512727 Я тоже не понимаю. Этот конкретный фрагмент кода никогда не должен был быть написан , не говоря уже о развертывании.

— Майкл Хэмптон

sudoЧасть команды не делает вам никакой пользы. Это относится только к echoкоманде (которая не требует специальных привилегий). Перенаправление, которому нужны привилегии, выполняется перед sudo. Так что команда просто потерпит неудачу bash: /etc/modprobe.d/blacklist: Permission denied. Но, возможно, echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistможет работать лучше.

— Касперд

@ThiagoCMC Почему вы говорите, что он включен по умолчанию? Если вы не создаете правила, для которых нужен модуль, он никогда не должен загружаться. Тем не менее, я боюсь, что такой модуль принесет больше вреда, чем пользы. Разумные случаи использования NAT66 крайне редки. Функциональность NAT66, скорее всего, будет использоваться людьми, которые были слишком подвержены IPv4 и теперь страдают от заблуждения, что NAT - хорошая идея.

— rfc2460

Правильный способ занести в черный список такие модули:

В файле черного списка вставьте следующую строку, заменив «(module_name)» именем модуля, как показано в lsmod

install (module_name) /bin/false

Это директива уровня ядра, которая не относится ни к какому дистрибутиву. Вы можете найти больше о installдирективе в man modprobe.conf.

— Speeddymon
источник