¿Cómo deshabilitar NAT para IPv6 (NAT66)?

9

El Ubuntu LTS actual no es compatible con tablas NAT para IPv6 (es decir, no hay ip6tables -t nat), y estoy de acuerdo con eso, de hecho, un entorno sin NAT es el "núcleo" de mis redes.

Pero, el próximo Ubuntu LTS agregará soporte para tablas NAT IPv6 y, el problema es que tengo "órdenes" para no permitirlo dentro de mi red IPv6, es decir, no admitiremos NAT66 (NAT para IPv6).

Entonces, necesito asegurarme de que ip6tables -t nateso no funcione aquí. ¿Cómo puedo desactivarlo?

¿Puedo simplemente poner en la lista negra algunos módulos del kernel? Sysctl?

ThiagoCMC
fuente

Respuestas:

6

Se nombra el módulo NAT IPv6 nf_nat_ipv6, por lo que debería ser suficiente incluirlo en la lista negra .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'
Michael Hampton
fuente
Esa técnica de lista negra no funciona. nf_nat_ipv6 está allí, en la lista negra pero, si ejecuto "ip6tables -t nat -L -nv", aparece el módulo. Por favor, NAT66 es totalmente indeseable, innecesario, y necesito asegurarme de que esté desactivado.
ThiagoCMC
1
Pero luego, romperé el paquete "linux-image-generic" ... Y después de una actualización del sistema, ese módulo espeluznante aparecerá de nuevo ... Realmente no entiendo por qué esta cosa está habilitada por defecto, NAT66 es indeseado La gente necesita superar NAT (que es solo una solución de las redes IPv4), vamos Ubuntu chicos ... No hagas esto, dame una forma profesional de desactivar NAT66 ... IPv6 NO necesita ningún tipo de NAT y Esto traerá problemas a un mundo (IPv6) que no tiene ningún problema. :-P
ThiagoCMC
44
@ user2512727 Yo tampoco lo entiendo. Este fragmento de código en particular nunca debería haberse escrito , y mucho menos implementado.
Michael Hampton
1
La sudoparte del comando no te sirve de nada. Solo se aplica al echocomando (que no necesita privilegios especiales). La redirección, que necesita privilegios, se realiza antes de sudo. Entonces el comando simplemente fallará bash: /etc/modprobe.d/blacklist: Permission denied. Pero quizás echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistpodría funcionar mejor.
Kasperd
1
@ThiagoCMC ¿Por qué dice que está habilitado de forma predeterminada? A menos que cree reglas que necesiten el módulo, nunca debería cargarse. Dicho esto, me temo que dicho módulo hará más daño que bien. Los casos de uso sensatos para NAT66 son extremadamente raros. La funcionalidad NAT66 es más probable que sea utilizada por personas que estuvieron demasiado expuestas a IPv4 y ahora sufren la ilusión de que NAT es una buena idea.
rfc2460
0

La forma correcta de incluir en la lista negra los módulos como este es la siguiente:

En su archivo de lista negra, inserte la siguiente línea, reemplazando "(nombre_módulo)" con el nombre del módulo como se muestra en lsmod

install (module_name) /bin/false

Esta es una directiva a nivel de kernel y no es específica de ninguna distribución. Puede encontrar más información sobre la installdirectiva en man modprobe.conf.

Speeddymon
fuente