Eu não posso dizer que estou familiarizado com esse corretor de túneis específico, estou assumindo que você recebeu um / 64 para seus hosts. Existem alguns corretores de túneis que fornecem um / 48 caso em que você precisará ajustar as regras um pouco. Estes estão no formato iptables-save:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Allow established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Allow ICMPv6 traffic (required for IPv6) This could be tightened up but it must
# be done very carefully unless you know what you're doing. It could block all
# routing
-A INPUT -p ipv6-icmp -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
# Allow traffic from your internal hosts to the outside world
-A FORWARD -s <your address block>::/64 -j ACCEPT
COMMIT
Você precisará substituir "< seu bloco de endereço > :: / 64" por qualquer intervalo de endereço atribuído a você.
Esse firewall impedirá todas as conexões externas com os endereços IPv6 locais, permitindo acesso a tudo. Se você precisar fornecer serviços em seus hosts IPv6 internos, precisará adicionar regras de permissão na cadeia FORWARD no final (mas antes do COMMIT).