ivladdalvi

Клиентские программы нынче используют TCP/587 для отправки почты, и там есть аутентификация. TCP/25 де-факто используется только для server-to-server и рассылки спама. Поэтому TCP/25 от клиентов наружу можно закрыть по умолчанию и открывать только по требованию. Но вообще, риски ваши, вам виднее. Про DNS, NTP и прочее — это вы говорите про фильтрацию входящего трафика ради защиты от амплификации (первых три) и совсем детских хакеров и червей (SMB и RPC). Поскольку в IPv6 адресное пространство очень разреженое, если не выдавать адреса клиентам по предсказуемой схеме (по порядку, начиная с первого), шанс, что где-то найдут открытый NTP или DNS, невелик. Я бы был недоволен, если бы мой провайдер заблокировал мне NTP, честно говоря, время хотелось бы синхронизировать. Но какие там у провайдеров риски, я не знаю. Что касается префикса, я бы взял /32 (и напрямую у RIR, но другой вопрос). NAT в IPv6 нет, префиксы при этом дешево стоят, перенумеровываться никому не хочется, если LIR облажается и не зарезервирует у себя сеть заранее побольше под вас (как делают RIRы), при расширении будет два префикса, зачем это всё вам надо? Поэтому, если LIR не наглеет с ценой, возьмите /32, не пожалеете. Правильно они всё предлагают.

Как вам тут уже порекомендовали, лучше взять /32 у RIPE и не мучаться. Я бы порекомендовал почитать RIPE BCP на этот счёт. Возможно, вам подойдёт вариант выдавать /56 для частных подключений и /48 для организаций. Если вы получите /32, у вас будет 56-32=12 бит для агрегации. Например, вы можете захотеть делать /44 на район (лучше, конечно, делить подсети по границе четырёх бит, это тоже BCP), только нумерацию начинайте слева, а не справа, тогда, если места не хватит, сможете расширить префикс. При /44 на район у вас будет 2^12 районов и 2^12 абонентов в районе, что вписывается в ваши требования. Или не как (потому, что у абонентов есть файрвол в их домашнем роутере) или предоставляя услугу файрвола. Но, tcp/25 наружу, пожалуй, я бы зафильтровал. Да, придётся настроить маршрутизацию.