netfilter TCP / UDP conntrack состояние СВЯЗАННОЕ с ICMP / ICMPv6

Я не знаю ответа, но вы можете узнать это сами.

Используйте эти правила (создает пустую цепочку "NOOP" для целей учета):

*filter
...
:NOOP - [0:0]
...
-A INPUT -i wanif -p icmpv6 --icmpv6-type destination-unreachable -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type packet-too-big -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type ttl-exceeded -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type parameter-problem -j NOOP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type ttl-exceeded -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
...

Затем, иногда позже, используйте ip6tables-save -c, чтобы увидеть счетчики для вышеуказанных правил. Если счетчики > 0 для правил NOOP над строкой «СВЯЗАННЫЕ», но 0 для правил ПРИНЯТЬ ниже, вы знаете, что совпадение «СВЯЗАННЫЕ» позаботилось об их принятии. Если счетчик для какого-то правила NOOP равен 0, то вы еще не можете сказать для этого конкретного типа icmpv6, выполняет ли RELATED это или нет. Если в какой-то строке ACCEPT счетчик > 0, то вам нужно это явное правило.