IPv6 (NAT66) için NAT nasıl devre dışı bırakılır?

Mevcut Ubuntu LTS, IPv6 için NAT tablolarını desteklemiyor (yani hayır ip6tables -t nat) ve aslında NAT içermeyen bir ortamın ağlarımın "çekirdeği" olduğunu düşünüyorum.

Ancak, bir sonraki Ubuntu LTS, IPv6 NAT tabloları için destek ekleyecek ve sorun, IPv6 ağımda buna izin vermemek için "emirler" var, yani NAT66'yı (IPv6 için NAT) desteklemeyeceğiz.

Yani, ip6tables -t natburada işe yaramayacağından emin olmalıyım . Nasıl devre dışı bırakabilirim?

Bazı çekirdek modüllerini kara listeye alabilir miyim? Sysctl?

— ThiagoCMC
kaynak

Yanıtlar:

IPv6 NAT modülü adlandırılmıştır nf_nat_ipv6, bu nedenle bu modülü kara listeye almak yeterli olacaktır .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— Michael Hampton
kaynak

Bu kara liste tekniği işe yaramıyor. nf_nat_ipv6 orada, kara listeye alındı ancak "ip6tables -t nat -L -nv" komutunu çalıştırırsam modül görünür. Lütfen, NAT66 tamamen istenmeyen, gereksiz ve devre dışı olduğundan emin olmalıyım.

— ThiagoCMC

Ama sonra, "linux-image-generic" paketini kıracağım ... Ve bir sistem yükseltmesinden sonra, o tüyler ürpertici modül tekrar görünecek ... Bu şeyin neden varsayılan olarak etkinleştirildiğini anlamıyorum, NAT66 istenmeyen. İnsanlar NAT (IPv4 ağlarının bir geçici çözümü) üzerinden geçmeli, Ubuntu adamlarına gelmeli ... Bunu yapma, NAT66'yı devre dışı bırakmam için bana profesyonel bir yol ver ... IPv6'nın herhangi bir NAT'a ihtiyacı yoktur ve bu, problemi olmayan bir dünyaya (IPv6) sorunlar getirecektir. :-P

— ThiagoCMC

@ user2512727 Ben de anlamıyorum. Bu özel kod parçası , konuşlandırılmaksızın asla yazılmamış olmalıdır .

— Michael Hampton

sudoKomutunun parçası size hiçbir işe etmez. Yalnızca echokomut için geçerlidir (özel ayrıcalıklara ihtiyaç duymaz). Ayrıcalık gerektiren yeniden yönlendirme sudo'dan önce gerçekleştirilir. Yani komut sadece başarısız olacak bash: /etc/modprobe.d/blacklist: Permission denied. Ama belki echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistdaha iyi olabilir.

— kasperd

@ThiagoCMC Neden varsayılan olarak etkin olduğunu söylüyorsunuz? Modüle ihtiyaç duyan kurallar oluşturmadıkça modül yüklenmemelidir. Böyle bir modülün yarardan çok zarar vereceğinden korktuğumu söyledi. NAT66 için mantıklı kullanım durumları oldukça nadirdir. NAT66 işlevselliğinin IPv4'e çok fazla maruz kalan ve şimdi NAT'ın iyi bir fikir olduğu yanılsaması olan kişiler tarafından kullanılması daha olasıdır.

— rfc2460

Bunun gibi modülleri kara listeye almanın uygun yolu aşağıdaki gibidir:

Kara liste dosyanıza, "(module_name)" yerine lsmod'da gösterildiği gibi modülün adını yazarak aşağıdaki satırı ekleyin

install (module_name) /bin/false

Bu, çekirdek düzeyinde bir direktiftir ve herhangi bir dağıtım için spesifik değildir. İçinde installdirektif hakkında daha fazla bilgi bulabilirsiniz man modprobe.conf.

— Speeddymon
kaynak