was mich vor allem an pfsense stört ist die fröhliche ipv6 kommunikation per default mit timeservern und weiß der teufel...
ipv6 können die meisten nix mit anfangen, ist aber auf allen interfaces aktiv. quasi prädestiniert, insgeheim ipv6-tunnel nach nirdenwo zu bauen - als brücke für im lan des kunden abgefischte ipv4 datenpakete?...
ich versuche immer zuerst ipv6 auf firewall zu deaktivieren bzw. vollständig zu blocken.
für mich ist ipv6 heute eine kostengünstige möglichkeit, roadwarrior mit eindeutiger ip nach hause telefonieren zu lassen mit dedizierten vpn-tunneln. als kostenersparnis für ipv4 adressen. aber dann muss man zwingend wissen, was man tut (!), ergo ipv6 nur auf dem externen interface - mit zugriffserlaubnis nur für eben die selbst bekannten ipv6-clients...
ansonsten soweit wie möglich abschotten, keine stateless-protokolle (udp, icmp, igmp, gre) auf die externe wan-schnittstelle weiterleiten.
mfg