Pode estar relacionado ao fato de desabilitar o rastreamento de conexão para tráfego NTP. Isso aparentemente faz com que as mensagens ICMP relacionadas a esse tráfego sejam sinalizadas como estado de rastreamento de conexão "inválido" na configuração padrão, a queda "inválida" aconteceu antes do ICMP permitindo.
Verificar e editar o ficheiro /etc/ufw/before.rules e /etc/ufw/before6.rules.
Se estiver conforme o primeiro exemplo, devemos editar conforme o segundo exemplo.
# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Edite o before.rules e o before6.rules para trocar esses dois blocos para que os ICMPs sejam permitidos antes que a verificação de "inválido" aconteça.
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
# drop INVALID packets (logs these in loglevel medium and higher)
# moved to after ICMP to prevent NTP stuff from being blocked
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP