IPv6 용 NAT를 비활성화하는 방법 (NAT66)?

현재 Ubuntu LTS는 IPv6에 대한 NAT 테이블을 지원하지 않습니다 (즉, 없습니다 ip6tables -t nat). 사실 NAT가없는 환경은 네트워크의 "핵심"입니다.

그러나 다음 Ubuntu LTS는 IPv6 NAT 테이블에 대한 지원을 추가 할 것이며 문제는 IPv6 네트워크 내에서 허용하지 않는 "주문"이 있다는 것입니다. 즉, NAT66 (IPv6의 경우 NAT)을 지원하지 않습니다.

따라서 ip6tables -t nat여기서 작동하지 않는지 확인해야합니다 . 어떻게 비활성화합니까?

커널 모듈을 블랙리스트에 올릴 수 있습니까? Sysctl?

— 티아고 CMC
소스

IPv6 NAT 모듈의 이름이 지정 nf_nat_ipv6되었으므로 해당 모듈 을 블랙리스트에 추가 하기에 충분해야합니다 .

sudo sh -c 'echo blacklist nf_nat_ipv6 >> /etc/modprobe.d/blacklist'

— 마이클 햄튼
소스

이 블랙리스트 기술은 작동하지 않습니다. nf_nat_ipv6은 블랙리스트에 있지만 "ip6tables -t nat -L -nv"를 실행하면 모듈이 나타납니다. NAT66은 완전히 바람직하지 않으며 불필요하며 비활성화되어 있는지 확인해야합니다.

— ThiagoCMC

그러나 "linux-image-generic"패키지를 깨뜨릴 것입니다 ... 그리고 시스템 업그레이드 후, 그 소름 끼치는 모듈이 다시 나타날 것입니다 ...이 것이 기본적으로 활성화 된 이유를 이해하지 못합니다. NAT66은 바람직하지 않은. 사람들은 NAT (이것은 IPv4 네트워크의 해결 방법 일뿐입니다)를 가져 와서 우분투 사람들에게 와야합니다 ...이 작업을 수행하지 말고 NAT66을 비활성화하는 전문적인 방법을 알려주십시오 ... IPv6에는 어떤 종류의 NAT도 필요하지 않습니다. 이렇게하면 문제가없는 세상 (IPv6)에 문제가 생길 것입니다. - P

— ThiagoCMC

@ user2512727도 얻지 못했습니다. 이 특정 코드는 배포 된 것은 물론이고 작성 되어서는 안됩니다 .

— Michael Hampton

sudo명령 의 일부는 당신을 잘하지 않습니다. echo명령 에만 적용됩니다 (특별한 권한이 필요하지 않음). 권한이 필요한 리디렉션은 sudo 전에 수행됩니다. 따라서 명령은 실패합니다 bash: /etc/modprobe.d/blacklist: Permission denied. 그러나 아마도 echo blacklist nf_nat_ipv6 | sudo tee -a /etc/modprobe.d/blacklist더 잘 작동 할 수 있습니다.

— kasperd

@ThiagoCMC 왜 기본적으로 활성화되어 있다고 말합니까? 모듈이 필요한 규칙을 만들지 않는 한 절대로드하지 않아야합니다. 그것은 그러한 모듈이 좋은 것보다 더 많은 해를 끼칠 까봐 두려워합니다. NAT66의 합리적인 사용 사례는 매우 드 rare니다. NAT66 기능은 IPv4에 너무 많이 노출되어 현재 NAT가 좋은 아이디어라는 망상에 시달리는 사람들이 사용할 가능성이 높습니다.

— rfc2460

이와 같은 모듈을 블랙리스트에 올릴 수있는 올바른 방법은 다음과 같습니다.

블랙리스트 파일에서 다음 줄을 삽입하여 "(module_name)"을 lsmod에 표시된대로 모듈 이름으로 바꿉니다.

install (module_name) /bin/false

이것은 커널 수준 지시문이며 배포에 국한되지 않습니다. install지시문에 대한 자세한 내용은에서 확인할 수 있습니다 man modprobe.conf.

— 스피디 몬
소스