Comment désactiver NAT pour IPv6 (NAT66)?

L'Ubuntu LTS actuel ne prend pas en charge les tables NAT pour IPv6 (c'est-à-dire qu'il n'y en a pas ip6tables -t nat), et je suis d'accord avec cela, en fait, un environnement sans NAT est le «cœur» de mes réseaux.

Mais, le prochain Ubuntu LTS ajoutera la prise en charge des tables NAT IPv6 et, le problème est, j'ai des "ordres" pour ne pas l'autoriser au sein de mon réseau IPv6, je veux dire, nous ne prendrons pas en charge NAT66 (NAT pour IPv6).

Donc, je dois m'assurer que ip6tables -t natcela ne fonctionnera pas ici. Comment puis-je le désactiver?

Puis-je simplement mettre sur liste noire certains modules du noyau? Sysctl?

— ThiagoCMC
source

Réponses:

Le module NAT IPv6 est nommé nf_nat_ipv6, il devrait donc être suffisant de mettre ce module sur liste noire .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— Michael Hampton
source

Cette technique de liste noire ne fonctionne pas. nf_nat_ipv6 est là, sur liste noire mais, si je lance "ip6tables -t nat -L -nv", le module apparaît. S'il vous plaît, NAT66 est totalement indésirable, inutile et je dois m'assurer qu'il est désactivé.

— ThiagoCMC

Mais alors, je vais casser le paquet "linux-image-generic" ... Et après une mise à niveau du système, ce module effrayant réapparaîtra ... Je ne comprends vraiment pas pourquoi cette chose est activée par défaut, NAT66 est indésirable. Les gens doivent passer par NAT (ce qui n'est qu'une solution de contournement des réseaux IPv4), allez sur les gars d'Ubuntu ... Ne faites pas ça, donnez-moi un moyen professionnel de désactiver NAT66 ... IPv6 n'a besoin d'aucun type de NAT et cela apportera des problèmes à un monde (IPv6) qui n'a aucun problème. :-P

— ThiagoCMC

@ user2512727 Je ne comprends pas non plus. Ce morceau de code particulier n'aurait jamais dû être écrit , et encore moins déployé.

— Michael Hampton

La sudopartie de la commande ne vous fait aucun bien. Elle ne s'applique qu'à la echocommande (qui n'a pas besoin de privilèges spéciaux). La redirection, qui nécessite des privilèges, est effectuée avant sudo. La commande va donc échouer bash: /etc/modprobe.d/blacklist: Permission denied. Mais peut echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklist- être pourrait-il mieux fonctionner.

— kasperd

@ThiagoCMC Pourquoi dites-vous qu'il est activé par défaut? Sauf si vous créez des règles qui nécessitent le module, il ne doit jamais être chargé. Cela dit, je crains qu'un tel module ne fasse plus de mal que de bien. Les cas d'utilisation raisonnables pour NAT66 sont extrêmement rares. La fonctionnalité NAT66 est plus susceptible d'être utilisée par des personnes qui ont été trop exposées à IPv4 et qui souffrent désormais de l'illusion que NAT est une bonne idée.

— rfc2460

La bonne façon de mettre sur liste noire des modules comme celui-ci est la suivante:

Dans votre fichier de liste noire, insérez la ligne suivante, en remplaçant "(nom_module)" par le nom du module tel qu'il apparaît dans lsmod

install (module_name) /bin/false

Il s'agit d'une directive au niveau du noyau et n'est spécifique à aucune distribution. Vous pouvez trouver plus d'informations sur la installdirective dans man modprobe.conf.

— Speeddymon
source