@v2tudnew
对，是可以 UDP 打洞，只不过各环节都要增加复杂度。比如在 BT 中，就需要一个没有防火墙的 peer 做中介。（ https://libtorrent-discuss.narkive.com/HqyhMO7B/libtorrent-does-libtorrent-support-hole-punching ）如果大家都指望打洞方案，那可连接性就可想而知了。
顺便一提，NAT-PMP 有支持 IPv6 的后继者（ Port Control Protocol ），但不太清楚目前路由支持的情况。

参考之前的永恒之蓝，微软已经发更新之后 WannaCry 才开始传播，而且主要是内网扩散。IPv6 回访攻击要能实现，对漏洞的要求应该更高。相比之下，防止应用程序漏洞的作用倒相对大一点。如果某程序开了没有限制来源的公网访问端口、通过了系统防火墙的许可、出现了未修复的危险安全漏洞、没有配置打洞机制或防火墙例外，同时用户主动访问的网站或中间的网关被攻击者掌握，且攻击者进行了扫描并正好知道这个漏洞，那有白名单防火墙会更安全。
我的意思是说，网关白名单防火墙的方案对用户和开发者增加了太多复杂性，但提升的安全性不大。操作系统的防火墙依然存在，所以掀屋顶的比喻不是很恰当，要我看更像是把围墙拆了变街区。

你提公共 WIFI 的场景我有点不理解。如果你在考虑把设备放置于陌生网络中的风险，那更应该加强设备自身的防护（零信任思想），而不是依赖网关来营造“安全”的边界。