拓扑是改了，不过一个合格的路由，基本的安防还是不难。
拿openwrt的firewall为例，interface分wan，wan6，lan.
把源自wan，wan6的input或者forward包全部reject即可。不需要考虑nat与否的问题。

【 在 leadu (leadu) 的大作中提到: 】
: 如果别的安全配置都是相同的情况下，开启ipv6更加不安全。
: 用通俗的话说，你可以认为ipv6只有子网，没有内网这回事了，所有机器都在公网上，尽管家里可能是星型连接所有设备在路由后面。虽然可以通过nat66搞出来内网，但是比较麻烦，而且现在一般硬件路由器都不支持
--
FROM 121.32.13.*