Seus DROPs estão marcados como TCP SYN. SYN significa uma nova conexão TCP vinda do mundo exterior. Então, para começar, a resposta ingênua é
-A FORWARD -m state --state NEW -j ACCEPT
Mas (já que você tem que perguntar) você não quer realmente fazer isso. Você precisa de algo mais 'apropriado'.
Porque alguém irá ingenuamente conectar uma impressora, NAS, dispositivo Windows com firewall definido como "Home", também conhecido como "rede privada". Ou qualquer outro dispositivo que ofereça um serviço em sua rede, para o qual as redes são, afinal. Em seguida, a Internet disponibilizará a impressora ou o NAS ou os arquivos compartilhados pelo dispositivo Windows. Desculpe, a segurança é uma merda.
Se você procurar padrões para roteadores IPv6 de consumo ("CPE"), descobrirá que eles exigem um firewall com estado como seu roteador.
Quando você deseja executar um servidor, o ideal seria usar uma máquina dedicada em uma rede "DMZ" separada. Ou seja uma porta de rede separada no roteador principal, que não é conectada à sua LAN doméstica. Por exemplo, se você deseja hospedar um blog, isso fornece uma camada de proteção para seus PCs quando alguém encontra uma vulnerabilidade no software de blog.
Quando você deseja executar um dispositivo direcionado ao consumidor com um suporte de segurança abjeto [1] como um NAS de "nuvem privada", câmera IP, etc. conectado diretamente à sua LAN, vale observar como isso geralmente funciona com o IPv4. Eles usarão principalmente o encaminhamento de porta UPnP [2], e se isso falhar, eles lhe dirão para configurar manualmente uma porta para frente [3] em seu roteador. É também como o compartilhamento de arquivos peer-to-peer, como o BitTorrent, funciona.
Isso pode funcionar da mesma forma no IPv6, exceto que, tecnicamente, você não está encaminhando a porta, apenas desbloqueando-a. (O endereço IP ao qual as pessoas se conectam será o IP da máquina, em vez do do roteador).
O encaminhamento de porta do uPnP não funciona para o IPv6. Existe um equivalente chamado PCP (baseado no NAT-PMP da Apple para IPv4). Tenho certeza que vou me acostumar com o BitTorrent, mas meu palpite desinformado não é relevante no seu caso.
Para o controle de porta manual (ambos v4 / v6), é necessário atribuir um endereço IP fixo ao dispositivo para que você possa identificá-lo permanentemente. Então você pode [4]
-A FORWARD -p tcp -d YOUR_MACHINE_IPV6_ADDRESS --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
e o mesmo para a sua porta 63282, ou qualquer porta que você queira expor na Internet.
Isso mantém sua política de firewall centralizada no roteador. (Se você desbloquear todas as portas, você precisa ficar de olho em i) executar serviços na máquina ii) o firewall do host na máquina iii) o roteador ainda).
Como sua rede é conectada, presumo que isso funcionará mesmo que sua máquina alterne entre as interfaces com e sem fio do roteador. (Porque funcionará com o mesmo endereço IP em ambos).
[1] link
[2] link
[3] link
[4] Stolen ^ W Adaptado da versão IPv4 em link