<div dir="ltr"><div><div>Greetings,<br><br>I've followed instructions in this BIND Knowledge base article and installed ip6tables on my DNS server, using raw table with no conntrack for DNS:<br><a href="https://kb.isc.org/article/AA-01183/0/Linux-connection-tracking-and-DNS.html">https://kb.isc.org/article/AA-01183/0/Linux-connection-tracking-and-DNS.html</a><br><br></div>But for IPv6 it drops fragmented packets, for example this query fails once the ip6table is on:<br>dig +dnssec  <a href="http://isc.org">isc.org</a> any  @2001:500:60::30 <br><br></div><div>Everything works great for IPv4 with similar rules, can someone help shed some light on what might be wrong:<br></div><div><br># Firewall configuration written by system-config-firewall<br>*raw<br>:PREROUTING ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>-A PREROUTING -p udp -m udp --dport 53 -j NOTRACK <br>-A PREROUTING -p udp -m udp --sport 53 -j NOTRACK <br>-A OUTPUT -p udp -m udp --dport 53 -j NOTRACK <br>-A OUTPUT -p udp -m udp --sport 53 -j NOTRACK <br>COMMIT<br>*filter<br>:INPUT ACCEPT [0:0]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [0:0]<br>-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED,UNTRACKED -j ACCEPT<br>-A INPUT -p ipv6-icmp -j ACCEPT<br>-A INPUT -i lo -j ACCEPT<br>#tcp dns <br>-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 53 -j ACCEPT<br>-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 53 -j ACCEPT<br>-A INPUT -j REJECT --reject-with icmp6-adm-prohibited<br>-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited<br>COMMIT<br><br><div><div>Thanks in advance!!<br></div><div>Larry<br></div><div><br></div></div></div></div>