Barrapunto

Con una arquitectura de red adecuada con firewalls y zonas DMZ bien establecidas y diseñadas nos debería dar igual usar NAT o no usarlo (y por tanto que los equipos tengan o no IPs públicas).

Siempre sera mas seguro que las IP no sean alcancables desde internet, a que lo sean. Lo mismo que siempre sera mas seguro que ni siquiera exista esa conexion. Por tanto si unimos FW+DMZ+NAT IPv4 obtenemos una infraestructura mas segura que FW+DMZ IPv6

Siempre se ha dicho que la transición a IPV6 se ha visto ralentizada porque a los EEUU no le interesaba.
Sólo basta conocer a quienes les sobran realmente ese 20% de IPs no asignadas que señalas (y en parte lo refleja uno de los enlaces que aportas).

Ni siquiera sabes leer, ese 20% quiere decir no tienen dueño, estan libres, no que como tu presupones esten sin uso, por eso el enlace que pongo refleja las Clases A si asignadas, pero puedes ver que hay huecos, por ejemplo todas las IP 5.x.x.x (16 millones en este solo ejemplo os recuerdo) estan todavia sin repartir a nadie.

Siempre sera mas seguro que las IP no sean alcancables desde internet, a que lo sean. Lo mismo que siempre sera mas seguro que ni siquiera exista esa conexion. Por tanto si unimos FW+DMZ+NAT IPv4 obtenemos una infraestructura mas segura que FW+DMZ IPv6

El beneficio de seguridad que obtienes ahí viene del hecho de que las ip's que hay tras el nat no son rutables ya que son de rangos privados(RFC 1918). (Teóricamente podrías hacer NAT sobre 2 rangos de direcciones públicas, en una migración de ISP por ejemplo ). En IPv6 puedes utilizar las llamadas "direcciones IPV6 locales" que por defecto no son rutables (y por qué no, puedes hacer NAT sobre ellas nadie te lo impide). La diferencia es que en este caso son únicas. No sé tú, pero a mí constantemente me pasa que tengo que establecer VPN's o puntos de contacto con redes de clientes y proveedores y casualmente solemos usar los mismos rangos, con lo que tenemos que hacer historias del estilo "tus 10.20.40.0 las mapearé como 192.168.30.0" y jueguecitos avanzados con NAT. La ventaja de las direcciones IPv6 locales es que son únicas, y todo eso desaparecería.

Personalmente, no creo que añadir NAT a un FW+DMZ dé ninguna seguridad, pero que veas que es posible.

También creo que, desgraciadamente, la implantación de IPv6 está lejos si llega a producirse. En primer lugar porque los que la tenemos que hacer, los técnicos, no estamos preparados. Yo apenas hace unos meses que estoy mirando IPv6 y por pura curiosidad intelectual, no porque me resuelva ningún problema actual, ni porque me lo exijan en el trabajo ni signifique más oportunidades laborales. Es bastante indicativo porque antes que los usuarios domésticos, los que den el salto serán las Administraciones y las empresas.

Siempre sera mas seguro que las IP no sean alcancables desde internet, a que lo sean. Lo mismo que siempre sera mas seguro que ni siquiera exista esa conexion. Por tanto si unimos FW+DMZ+NAT IPv4 obtenemos una infraestructura mas segura que FW+DMZ IPv6

No siempre, puede que esas direcciones no sean alcanzables desde internet, pero sí podrían serlo desde tu proveedor, tu gateway directo, el último eslabón de la cadena antes de tu router podría ponerse a enviarte paquetes con IPs privadas de tu LAN y si tus políticas de firewall no preven esto, ya la tenemos montada.

Si las reglas de tu firewall son correctas entonces no ocurrirá, pero entonces tampoco ocurrirá con IPv6 sin NAT, aunque las direcciones de la LAN sean públicas no serán accesibles.

Resumiendo: la seguridad la provee el firewall, no el enrutado NAT.