IPv6 (apparently) does not support NAT.
O pessoal da norma desestimula strongmente a NAT IPv6, mas isso não impede que as pessoas a implementem. Não há diferença fundamental que torne o IPv6 NAT mais fácil ou mais difícil que o NAT IPv4. O assunto do IPv6 NAT no Linux foi um contraversial, mas acabou sendo implementado no Linux 3.7.
ip6tables é a contraparte do ipv6 para o iptables. A configuração de um firewall básico que permite tudo o que sai, mas permite apenas entradas específicas e não restringe o acesso à caixa do firewall, é muito simples.
- Defina a diretiva de encadeamentos diretos para que ela seja descartada (sempre recomendo que a diretiva de cadeia seja definida para que, ao liberar e redefinir as regras, você não fique totalmente aberto)
- Adicione uma regra na tabela de encaminhamento para permitir que os pacotes de dentro para fora.
- Adicione uma regra na tabela de encaminhamento para permitir pacotes com estados de rastreamento de conexão "estabelecidos" e "relacionados". Isso permite respostas relacionadas às suas conexões de saída sem abri-lo à Internet em geral.
- Adicione regras para qualquer coisa que você queira permitir.
Se você quiser restringir o acesso à própria caixa do firewall, a vida fica um pouco mais complicada, porque você tem que ter certeza de permitir coisas como o SLACC. Existem alguns exemplos no link
Se você estiver tentando limitar o tráfego de / para o próprio roteador (em vez de apenas limitar o tráfego encaminhado), será necessário permitir a descoberta de vizinhos e anúncios vizinhos.
Acredito que você precisa (tirado de link )
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl --hl-eq 255 -j ACCEPT