来自 0001 和本地链路 (FE80::1) 的 IPv6 流量

尝试使用 ip6tables 获取 IPv6 的基本防火墙设置（这是在 Ubuntu 服务器 16.04 上）。在 INPUT 链上，每当有客户端发起的 IPv6 流量（例如运行“apt update”）时，我都会从我假设的网关处收到大量数据包：来自与我的 IP 地址相同的网络地址，但以 ::1 [64 位 0 以 1 结尾] 结尾）。如果我丢弃这些流量，事情就会运行缓慢（例如“apt update”需要很长时间才能（成功）完成）。如果我让这些数据包进入，一切都很正常。

问题是我已经阅读了大量有关配置 ip6tables 的内容，但到目前为止我所读到的任何内容都没有提到这个不属于 --ctstate ESTABLISHED,RELATED 的传入“网关”流量。

此外，在此来回过程中，我收到了一些来自本地链路地址 (fe08::1) 的数据包，这些数据包发往我的实际公共 IP 地址。根据我的规则，这些数据包也被丢弃。

以下是我的 IPv6 规则：

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED
-A INPUT -j LOG --log-prefix "IPv6-DROP="
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

非常基本的初始设置。如果 IPv6 配置应该接受来自 NETWORK-ADDRESS::1 和 fe08::1 的传入信息，那么为什么教程网站和示例没有指出这一点？我只有在请求某些东西（例如“apt update”）时才会被这些数据包轰炸。那么，它们不应该包含在 ctstate RELATED、ESTABLISHED 或 lo 中吗？