Eu não sei a resposta, mas você pode descobrir a si mesmo.
Use essas regras (cria uma cadeia vazia "NOOP" para fins de contabilidade):
*filter
...
:NOOP - [0:0]
...
-A INPUT -i wanif -p icmpv6 --icmpv6-type destination-unreachable -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type packet-too-big -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type ttl-exceeded -j NOOP
-A INPUT -i wanif -p icmpv6 --icmpv6-type parameter-problem -j NOOP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type ttl-exceeded -j ACCEPT
-A INPUT -i wanif -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
...
Então, às vezes, use ip6tables-save -c
para ver os contadores das regras acima. Se os contadores são > 0 para as regras NOOP acima da linha "RELATED", mas 0 para as regras ACCEPT abaixo, você sabe que a correspondência "RELACIONADA" tomou conta de aceitá-las. Se o contador para alguma regra NOOP for 0, então você não pode dizer ainda para esse tipo específico de icmpv6 se RELATED o faz ou não. Se alguma linha ACCEPT tiver seu contador > 0, então você precisa dessa regra explícita.