IPv6（NAT66）のNATを無効にする方法は？

現在のUbuntu LTSはIPv6のNATテーブルをサポートしていません（つまり、はありませんip6tables -t nat）。私はそれで問題ありません。実際、NATのない環境が私のネットワークの「コア」です。

しかし、次のUbuntu LTSではIPv6 NATテーブルのサポートが追加される予定です。問題は、IPv6ネットワーク内で許可しないように「注文」することです。つまり、NAT66（IPv6のNAT）はサポートしません。

したがって、ip6tables -t natここでは機能しないことを確認する必要があります。どうすれば無効にできますか？

一部のカーネルモジュールをブラックリストに登録できますか？Sysctl？

— チアゴCMC
ソース

回答:

IPv6 NATモジュールは名前が付けられているnf_nat_ipv6ため、そのモジュールをブラックリストに登録するだけで十分です。

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— マイケル・ハンプトン
ソース

そのブラックリスト手法は機能しません。nf_nat_ipv6があり、ブラックリストに登録されていますが、「ip6tables -t nat -L -nv」を実行すると、モジュールが表示されます。NAT66は完全に望ましくなく、不要であり、無効にする必要があります。

— ThiagoCMC 2013

しかし、それから、パッケージ「linux-image-generic」を壊します...そして、システムのアップグレード後、その不気味なモジュールが再び表示されます...このことがデフォルトで有効になっている理由が本当にわかりません、NAT66は望ましくない。人々はNAT（IPv4ネットワークの回避策に過ぎない）を乗り越え、Ubuntuの仲間に来る必要があります...これを行わないでください、NAT66を無効にする専門的な方法を私に与えてください... IPv6はいかなる種類のNATも必要としません。これは問題のない世界（IPv6）に問題をもたらします。:-P

— ThiagoCMC 2013

@ user2512727私にもわかりません。この特定のコードは、デプロイされているだけでなく、記述されるべきではありません。

— マイケルハンプトン

sudoコマンドの一部は、あなたには何の役にも立ちません。echoコマンドにのみ適用されます（特別な権限は必要ありません）。権限を必要とするリダイレクトは、sudoの前に実行されます。したがって、コマンドはで失敗しbash: /etc/modprobe.d/blacklist: Permission deniedます。しかし、おそらくecho blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklistもっとうまくいくかもしれません。

— kasperd 2015年

@ThiagoCMCなぜデフォルトで有効になっているのですか？モジュールを必要とするルールを作成しない限り、モジュールをロードすることはできません。そうは言っても、そのようなモジュールは良いというよりは害が大きいと思います。NAT66の実用的な使用例は非常にまれです。NAT66機能は、IPv4への露出が多すぎて、NATが良いアイデアであるという妄想に苦しんでいる人々によって使用される可能性が高くなります。

— rfc2460

このようなモジュールをブラックリストに追加する適切な方法は次のとおりです。

ブラックリストファイルに次の行を挿入し、「（module_name）」をlsmodに表示されるモジュールの名前に置き換えます

install (module_name) /bin/false

これはカーネルレベルのディレクティブであり、どのディストリビューションにも固有ではありません。installディレクティブの詳細については、を参照してくださいman modprobe.conf。

— スピードダイモン
ソース