J'ai voulu me connecter à IRC en IPv6 via un tunnel HE (https://tunnelbroker.net/). Hé bah non. Filtré.
Sur le forum ci-lié on lit :
"I realized that I have to go through all the certifications to enable IRC ports."
En testant au pif avec telnet on trouve qu'on n'a pas de connexion refusée sur 6660-6670 inclus et 6697 mais bien aucune réponse, donc du drop. Nmap confirme :
$ nmap -6 -sT -p 6650-6750 vp.michalon.eu
Starting Nmap 6.47 ( http://nmap.org ) at 2016-03-06 20:55 CET
Nmap scan report for vp.michalon.eu (2a00:5881:8110::1)
Host is up (0.064s latency).
Not shown: 89 closed ports
PORT STATE SERVICE
6660/tcp filtered unknown
6661/tcp filtered unknown
6662/tcp filtered radmind
6663/tcp filtered unknown
6664/tcp filtered unknown
6665/tcp filtered irc
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
6670/tcp filtered irc
6697/tcp filtered unknown

Un nmap similaire mais sur tous les ports (1-65535) montre "31 filtered ports" (j'ai pas eu le détail du coup).

Pour vérifier que c'est pas sur le retour le filtrage mais bien à l'aller, j'ai limité le nmap sur 6695-6699
nmap -6 -PN -sT -p 6695-6699 -r vp.michalon.eu
et tcpdump les TCP SYN de l'autre côté (lignes de sortie raccourcies ; merci http://www.packetlevel.ch/html/tcpdumpf.html pour le filter).
tcpdump -i eth0 -n "ip6 and (ip6[6] == 0x06) and (ip6[53] == 0x02)"

2a00:5881:8110::1.6695: Flags [S]
2a00:5881:8110::1.6696: Flags [S]
2a00:5881:8110::1.6698: Flags [S]
2a00:5881:8110::1.6699: Flags [S]

lala.

Je passe par un tunnel HE pour avoir de l'IPv6 chez moi (desktop et serveur, FAI en carton oblige). Pour les mails, au moins gmail râle si on n'a pas de reverse DNS. Chez HE c'est super simple, ils ont un service en Open Beta, lié directement avec tunnelbroker. On se connecte, on active la délégation sur leurs serveurs (un clic) et zou le reverse de notre /64 routé est prêt à être configuré. On peut aussi déléguer la zone vers des serveurs au choix (jusqu'à 5 ! :D).