Ha csak simán NAT-ról beszélünk firewall nélkül, akkor tényelg nem véd semmit: ha küldök egy IP csomagot a routered publikus IP címére, úgy, hogy célként a mögötte lévő gép privát IP címe van, akkor ha firewall nem tiltja (persze nem nagyon van olyan router, ami ne tiltaná), akkor az a csomag bizony továbbítva lesz a privát hálózatba. Persze ez a valóságban nehezen kivitelezhető, de IPv6-őn is ugyanúgy lehet hasonló védelmet csinálni, mint ami IPv4-en manapság már természetes, nem az a jó irány, hogy ne is lehessen megcímezni a "privát" hálózatokat, mert az bizonyos use-case-eket lehetetlenné tesz.
Amúgy pl. az én sok (>5) éves routeremben az a default, hogy nem engedi be az IPv6-os csomagokat by default, csak ha explicit engedélyezem egy szabállyal, tehát igenis létezik jó példa. Amúgy meg manapság a perimeter security nem annyira menő, de értem, hogy lakossági szegmensben ez nehezebben megvalósítható.