Como desativar o NAT para IPv6 (NAT66)?

9

O atual Ubuntu LTS não suporta tabelas NAT para IPv6 (ou seja, não há ip6tables -t nat), e estou bem com isso, de fato, um ambiente sem NAT é o "núcleo" das minhas redes.

Mas, o próximo Ubuntu LTS adicionará suporte para tabelas NAT IPv6 e, o problema é que tenho "ordens" para não permitir isso na minha rede IPv6, ou seja, não ofereceremos suporte a NAT66 (NAT para IPv6).

Então, preciso garantir que ip6tables -t natisso não funcione aqui. Como posso desabilitá-lo?

Posso apenas colocar alguns módulos do kernel na lista negra? Sysctl?

12.04 iptables ipv6 nat ThiagoCMC
fonte

Respostas:

6

O módulo NAT do IPv6 é nomeado nf_nat_ipv6, portanto deve ser suficiente colocar na lista negra esse módulo .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'
Michael Hampton
fonte
Essa técnica da lista negra não funciona. nf_nat_ipv6 está lá, na lista negra, mas, se eu executar "ip6tables -t nat -L -nv", o módulo será exibido. Por favor, o NAT66 é totalmente indesejado, desnecessário e preciso ter certeza de que está desativado.
ThiagoCMC
11
Mas então, eu vou quebrar o pacote "linux-image-generic" ... E após uma atualização do sistema, esse módulo assustador aparecerá novamente ... Eu realmente não entendo por que essa coisa está ativada por padrão, o NAT66 é indesejado. As pessoas precisam superar o NAT (que é apenas uma solução alternativa para redes IPv4), vamos lá pessoal do Ubuntu ... Não faça isso, me dê uma maneira profissional de desativar o NAT66 ... O IPv6 NÃO precisa de nenhum tipo de NAT e isso trará problemas para um mundo (IPv6) que não possui problemas. :-P
ThiagoCMC
4
@ user2512727 Também não entendi. Esse pedaço de código em particular nunca deveria ter sido escrito , muito menos implantado.
Michael Hampton
11
A sudoparte do comando não faz nenhum bem. Aplica-se apenas ao echocomando (que não precisa de privilégios especiais). O redirecionamento, que precisa de privilégios, é realizado antes do sudo. Portanto, o comando simplesmente falhará bash: /etc/modprobe.d/blacklist: Permission denied. Mas talvez echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistpossa funcionar melhor.
kasperd
11
@ThiagoCMC Por que você diz que está ativado por padrão? A menos que você crie regras que precisem do módulo, ele nunca deve ser carregado. Dito isto, receio que esse módulo faça mais mal do que bem. Os casos de uso sensatos do NAT66 são extremamente raros. É mais provável que a funcionalidade NAT66 seja usada por pessoas que tiveram muita exposição ao IPv4 e agora sofrem com a ilusão de que o NAT é uma boa idéia.
rfc2460 27/04
0

A maneira correta de colocar módulos na lista negra como esta é a seguinte:

No arquivo da lista negra, insira a seguinte linha, substituindo "(module_name)" pelo nome do módulo, conforme mostrado em lsmod

install (module_name) /bin/false

Esta é uma diretiva no nível do kernel e não é específica para nenhuma distribuição. Você pode encontrar mais informações sobre a installdiretiva em man modprobe.conf.

Speeddymon
fonte