个人认为主要的麻烦在于，用户以为自己是真公网。没有问题还好，有问题排查时不会想到还有这一出。
也同意楼上观点，希望光猫的 IPv6 防火墙搞好一点。

如果只需要 DDNS 没必要用花生壳。各大域名提供商基本都有配置解析的 API ，网上也很容易找到现成的脚本。

@Licsber 想问一下物联网设备需要 DDNS 的场景是什么？如果是品牌商的物联网设备，那设备间的相互发现应该不劳用户操心。如果是给 DIY 玩家又不可编程的设备，那公网访问能配 TLS 么？不能的话 DDNS 暴露应该不安全，或者要依赖其他设备强化安全才接触公网，抑或是该设备的安全本来也不重要。
IPv6 打破了原来“内网”的安全边界，让每个设备都可被公网连接，恰好可以促使各种联网设备朝“零信任”的方向发展。个人认为，把所有设备一视同仁当作外网设备进行验证和授权是未来的发展趋势，需要公网连入、有安全需求但又缺乏安全机制的设备在 IPv6 下则有点不好处理。

其实楼主最后一段已经可以用来反驳标题了

@MNIST 只放通部分 v6 访问的方案一直存在，只不过在实践中都比较麻烦。如果认为增加的麻烦复杂性值得上增加的安全性，符合自身需要就行。

@Licsber 我原贴的意思是要有总开关。但对于非小白的家庭用户，更精细的防火墙控制目前还没有比较好的方案。如果有公网入站需求，在权衡利弊之后，SLAAC+全部放通也是一种可选项。
v4 暴露端口的风险很大程度上源自全网 IP 的扫射，这在 v6+SLAAC 下这变得很难。设置 DDNS 可让域名关联到 IPv6 ，但好像没有同样低成本的方法可以遍历各域名。虽然攻击的可能性仍然存在（如证书），但相比 v4 小很多。
既然觉得 DDNS 暴露在公网不安全，那么这种设备多数是使用者可控、可编程的。不一定要沿用 v4 的集中管理策略，每台机器甚至每个虚拟环境都可以有独立的 DDNS 。
UDP 打洞问题我在原贴有讨论。v6+防火墙的打洞比 NAT 要方便不少，但似乎需要没有防火墙的 peer 做中介，如果大家都开防火墙也许会有问题（特别是比较冷的种）。
个人认为 IPv6 下还是要强终端、弱网关。一方面，网关的 IP 是相对容易被探测发现的。如果承载路由、防火墙之外的太多东西，安全弱点造成的风险比终端更大。另一方面，移动互联网时代终端难免跨网移动。外部网关的安全性自己无法掌控，如果终端不加防范，那也会引狼入室再通过内网扩散。无数的开发者无法全部信任，他们既可以向防火墙申请暴露有弱点的端口，也可以不经防火墙自行打洞建立有弱点的 P2P 通信。如果真对安全有很高要求，那么终端的安全更要认真对待。

关键看是什么需要吧？低位端口本来就是封的，高位端口如果外网主动访问正常，很多人也不会在意。

对于楼主的场景，如果 smb 服务和 PT 下载走不同的 SLAAC IPv6 是不是就可以了？这个是容易实现的。

可以参考稍早前的讨论： https://www.v2ex.com/t/833550

公网 IPv4 就是会这样

很好的想法。过程中涉及很多方面技能的综合运用，或有用于教学的潜力。

@industryhive 如果真的变成算力军备竞赛的话，那胜率恐怕不大，因为算力芯片的绝大部分产能未在内地。当然，由于“打赢”军备竞赛没什么好处，而且必须要长期保持算力优势才能防止“死灰复燃”，真发生的可能性不大。

@industryhive 几大国内矿池的算力并不是都在境内。想要打击挖矿，到现在其实也没有清零。

但是 51%攻击要掌握的算力是十分可观的，要能威胁生态必须长期持有，这么搞对自己有什么好处。而且每一次攻击都是全世界见证的，真要出现了这种情况，可能会进一步发展出自动化的硬分支。

OSS 是以对象为单位的操作，如果需要单个对象分片存储读取的话恐怕会有问题

对于存储问题，修剪的节点也具有验证能力 https://academy.bit2me.com/en/que-es-un-nodo-podado/

矿池的算力不是矿池自有的，位置十分分散。收缴全国矿机且不说难度，就算真发生了，估计也只会引发算力竞赛。

@Chingim 除了提问的人不认真，也有可能是不知道要提供什么信息

个人建议先测一下局域网内网互传数据

楼主的文字读起来有点费力啊