Похоже на ошибку ... ( https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=39679 )
Какая версия пакета adduser установлена на ваша система?
dpkg -l | grep adduser
Я не знаю ответа, но вы можете узнать это сами.
Используйте эти правила (создает пустую цепочку "NOOP" для целей учета):
*filter
...
:NOOP - [0:0]
...
-A INPUT -i wanif -p icmpv6 --icmpv6-type destination-unreachable -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type packet-too-big -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type ttl-exceeded -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type parameter-problem -j NOOP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type ttl-exceeded -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
...
Затем, иногда позже, используйте ip6tables-save -c
, чтобы увидеть счетчики для вышеуказанных правил. Если счетчики > 0 для правил NOOP над строкой «СВЯЗАННЫЕ», но 0 для правил ПРИНЯТЬ ниже, вы знаете, что совпадение «СВЯЗАННЫЕ» позаботилось об их принятии. Если счетчик для какого-то правила NOOP равен 0, то вы еще не можете сказать для этого конкретного типа icmpv6, выполняет ли RELATED это или нет. Если в какой-то строке ACCEPT счетчик > 0, то вам нужно это явное правило.