(dopo un giorno di bestemmie) ho scoperto che ip6tables non supporta il modulo ip_conntrack per leggere gli stati della connessione, quindi una regola tipo:
ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
con policy della tabella DROP fallira’ sempre, meglio usare al suo posto:
ip6tables -A INPUT -p tcp --tcp-flags ACK ACK -j ACCEPT
che sembra invece funzionare…