@MNIST 只放通部分 v6 访问的方案一直存在，只不过在实践中都比较麻烦。如果认为增加的麻烦复杂性值得上增加的安全性，符合自身需要就行。

@Licsber 我原贴的意思是要有总开关。但对于非小白的家庭用户，更精细的防火墙控制目前还没有比较好的方案。如果有公网入站需求，在权衡利弊之后，SLAAC+全部放通也是一种可选项。
v4 暴露端口的风险很大程度上源自全网 IP 的扫射，这在 v6+SLAAC 下这变得很难。设置 DDNS 可让域名关联到 IPv6 ，但好像没有同样低成本的方法可以遍历各域名。虽然攻击的可能性仍然存在（如证书），但相比 v4 小很多。
既然觉得 DDNS 暴露在公网不安全，那么这种设备多数是使用者可控、可编程的。不一定要沿用 v4 的集中管理策略，每台机器甚至每个虚拟环境都可以有独立的 DDNS 。
UDP 打洞问题我在原贴有讨论。v6+防火墙的打洞比 NAT 要方便不少，但似乎需要没有防火墙的 peer 做中介，如果大家都开防火墙也许会有问题（特别是比较冷的种）。
个人认为 IPv6 下还是要强终端、弱网关。一方面，网关的 IP 是相对容易被探测发现的。如果承载路由、防火墙之外的太多东西，安全弱点造成的风险比终端更大。另一方面，移动互联网时代终端难免跨网移动。外部网关的安全性自己无法掌控，如果终端不加防范，那也会引狼入室再通过内网扩散。无数的开发者无法全部信任，他们既可以向防火墙申请暴露有弱点的端口，也可以不经防火墙自行打洞建立有弱点的 P2P 通信。如果真对安全有很高要求，那么终端的安全更要认真对待。

关键看是什么需要吧？低位端口本来就是封的，高位端口如果外网主动访问正常，很多人也不会在意。

对于楼主的场景，如果 smb 服务和 PT 下载走不同的 SLAAC IPv6 是不是就可以了？这个是容易实现的。

可以参考稍早前的讨论： https://www.v2ex.com/t/833550

公网 IPv4 就是会这样

很好的想法。过程中涉及很多方面技能的综合运用，或有用于教学的潜力。

@industryhive 如果真的变成算力军备竞赛的话，那胜率恐怕不大，因为算力芯片的绝大部分产能未在内地。当然，由于“打赢”军备竞赛没什么好处，而且必须要长期保持算力优势才能防止“死灰复燃”，真发生的可能性不大。

@industryhive 几大国内矿池的算力并不是都在境内。想要打击挖矿，到现在其实也没有清零。

但是 51%攻击要掌握的算力是十分可观的，要能威胁生态必须长期持有，这么搞对自己有什么好处。而且每一次攻击都是全世界见证的，真要出现了这种情况，可能会进一步发展出自动化的硬分支。

OSS 是以对象为单位的操作，如果需要单个对象分片存储读取的话恐怕会有问题

对于存储问题，修剪的节点也具有验证能力 https://academy.bit2me.com/en/que-es-un-nodo-podado/

矿池的算力不是矿池自有的，位置十分分散。收缴全国矿机且不说难度，就算真发生了，估计也只会引发算力竞赛。

@Chingim 除了提问的人不认真，也有可能是不知道要提供什么信息

个人建议先测一下局域网内网互传数据

楼主的文字读起来有点费力啊

看看这个命令有正确结果么
> curl --location --request GET "https://doh.pub/dns-query?name=www.baidu.com" --header "Accet:application/dns-json"

@ngrok111 服务商越容易被薅羊毛，线路就越容易被玩坏

@liaohongxing 在楼主的方案下，如果根据 DNS 或 SNI 攻击，CDN 是罚不到楼主域名上的

如果 CDN 提供商不阻止、正向代理不被破解或多开，那确实有可行性