NAT is not a security feature. к несчастью многие почему-то думают наоборот. в IPv6 предполагалось изначально, что NATa, вообще не будет, потому что достаточно адресов. в dual stack провайдер выдаёт нормальный маршрутизируемый префикс клиенту (delegated prefix), обычно это /64 или даже /56, который можно дальше в домашней сети разбить на подсети или не разбивая раздавать адреса

Я бы сказал "...not a security feature by itself". Потому что сам по себе обеспечивает в основном security through obscurity :)

Но obscurity давно стала пусть и не особенно важной, но обычно реализуемой частью концепции безопасности. Не показывать во внешнюю сеть внутреннюю структуру сети. В домашних сетях для этой цели NAT на один внешний адрес самое то...
А сейчас de facto у каких-то провайдеров уже так работает, чтобы провайдер выделял не один, а пул IP адресов, а роутер их не маскарадил? Но, при этом фильтровал траффик?
Я лет 5-6 назад попробовал на каком-то домашнем D-Link-e на WAN включить IPv6 и выключить v4. И получил обычный many-to-one NAT, только в IPv6. В опциях копался очень поверхностно, но сложилось впечатление, что с отключением NAT та модель роутера отключала вообще всю фильтрацию пакетов.