Хм... IPv6 — забавно.
Все хосты локалки торчат голым коннектором в инет... Пингуются снаружи (к примеру, мобильник, подцепленный к домашнему WiFi, весьма годно пропинговался с японского сервера).
Некоторая иллюзия защиты — то, что адрес случайно выдаётся из выданного мне пространства в 2^64 адресов.
Получается, что на каждом девайсе поднимать свой файервол? Или как-то на роутере запрещать присвоение внешних IPv6 определённым хостам из локалки? Или создавать отдельные VLAN IPv4-only для тех, кому нельзя голым коннектором в инет?