尽管允许 ipv6，ipTables 仍阻止 ipv4 端口 25 流量。可以修复吗？

您过滤输入的方式也会阻碍输出。这是因为任何“传出”连接实际上都需要回复（返回数据包），而这些目前在您的防火墙中是不允许的。

想想传出连接是如何工作的，比如 TCP：您的机器发送 SYN，然后它需要接收 SYN 和 ACK（将在 INPUT 链中处理），发送自己的 ACK，等等，例如，当连接从内部发起时，流量总是双向流动。您的防火墙在 INPUT 链中没有任何规则来识别和允许该 SYN 和 ACK，因此它会根据策略进行处理，例如丢弃，并且传出连接无法继续。

对于某些情况，简单的无状态防火墙（不考虑某些数据包是对其他数据包的回复）就足够了。只有当您能够制定涵盖所有转发和返回流量的规则集时才行。但对于绝大多数情况，您无法做到这一点，这就是为什么我们必须在防火墙中引入连接概念（适用于所有内容，包括显然无连接的 UDP、ICMP 等）并区分与某些实时连接相关的数据包。

长话短说，Linux 有一个连接跟踪器模块可以执行此操作，通常称为conntrack，并且它的 iptables 接口在规则集语法中有一些匹配和目标。此外，整个 Linux 的 NAT 功能都是基于 conntrack。

在典型的状态防火墙规则集中，第一条规则是使用 conntrack 来允许来自所有当前已建立连接或与已建立连接相关的新连接的数据包。可以像这样添加：

iptables -t filter -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

即使 INPUT 策略为 DROP，你的传出连接也会神奇地开始工作。

此规则还有一种较旧的形式，即使用过时的state模块-m state --state RELATED,ESTABLISHED。我告诉你这一点，以防你在网上的一些旧指南中遇到它；只需知道它是什么，但不要使用它。最近的内核中没有这样的模块，但这种古老的形式仍然可以工作，被默默地翻译成模块conntrack，所以最好明确使用它。-I INPUT 1意思是“插入到前面”（成为第一个）。

需要注意的是，如果您已经建立了连接并且想要删除它，您不仅需要在它下面添加一条规则；您还需要断开实际的实时连接，以便连接跟踪器停止识别和允许它。对于 TCP，这通常不是什么大问题，但是当您开始使用基于 UDP 的协议时，尤其是像 SIP 这样的复杂协议，您会遇到一些棘手的问题，您需要非常了解连接跟踪器的行为才能解决这些问题。

至于 IPv6，我怀疑你没有为其设置防火墙。它是一个独立的东西，使用 进行设置ip6tables，可以使用 进行查看ip6tables-save，并且它具有相同的conntrack模块。