(dopo un giorno di bestemmie) ho scoperto che ip6tables non supporta il modulo ip_conntrack per leggere gli stati della connessione, quindi una regola tipo:
ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
con policy della tabella DROP fallira’ sempre, meglio usare al suo posto:
ip6tables -A INPUT -p tcp --tcp-flags ACK ACK -j ACCEPT
che sembra invece funzionare…

Ancora parecchie cose non fungono, anche i LOG ad esempio. Prova a vedere su patch-o-matic, li il supporto per iptables raggiunge ottimi livelli.

dunque, la gente di netfilter.org mi ha risposto:
in sostanza, nel kernel, non bisogna abilitare CONFIG_IP_NF_CONNTRACK ma CONFIG_NF_CONNTRACK.
infatti il primo e’ il conntrack su ip puro, il secondo, ancora “experimental”, fa comparire per magia i sottomenu di CONFIG_NF_CONNTRACK_IPV4 CONFIG_NF_CONNTRACK_IPV6 e ora il conntrack funziona a dovere.

solo una cosa: cercare le cose nel config del kernel e’ sempre di piu’ una caccia al tesoro.