Én ezt nem teljesen így látom. Ne feledjük, hogy IPv4 esetén nincs 1:1 nat meg hasonló csavar: ott "véd" a külső támadástól (valamennyire) az, hogy kintről direktben nem lesz elérhető az összes eszköz. Amikor 1:1 megfeleltetés van, akkor onnantól kintről is direktben elérhető bármelyik belső gép. (Abba ne menjünk bele, hogy elég nagy az az IPv6 tartomány egy /64 esetén is ahhoz, hogy elég kis százalék legyen olyan cím, hogy gép is van mögötte.) Tehát a bejövő forgalmat azért szűrném - mégiscsak tűzfal van az útjában vagy mifene. Viszont a válasz csomagokat meg csak jó lenne beengedni, mert ha kintről semmit nem engedek be, akkor egyirányúsítottam a kapcsolatot és ezzel igazából kicsuktam az IPv6-ot. Tehát jó azért az a conntrack...