Pour le /64 géré par la box,  par défaut, le trafic initié depuis l'extérieur sera rejeté sauf ICMP, conformèment aux recommandations.

Définissez : trafic "initié depuis"!

Ben moi mon DNS il ne se met pas à jour tout seul, et le mDNS c'est une belle saloperie

DNS dynamique, supporté par Windows et Linux, tu peux aussi demander à DHCP de le mettre à jour pour tes clients.

Initié depuis une adresse ipv6 comprise dans 2000::/3 si tu préfères...

C'est initié que je ne comprends pas.

Petite question : que deviennent les DNS récupéré par DHCP en IPv4 ?

Ils sont interrogés en premier ou en dernier en cas de non réponse ?

ca dépend des OS (ou du client dns s'il est modifiable dans l'OS) et du nombre total de serveurs DNS configurés: jamais ou après un délai   

Dans les faits, DNS est un protocole au dessus d'IP comme n'importe quel autre. il ne fait pas l'objet d'un traitement particulier , y'a que sa configuration qui est 'bâtarde' et intégrée a la configuration d'IP au lieu d'être 'apres et a part'.

Donc quand on fait une requête DNS, le client DNS regarde sa liste de serveurs et les interroge dans l'ordre jusqu’à timeout ou un maximum de serveurs (MAXNS = 3 avec resolv.conf sur linux par exemple, donc si y'a 3 serveurs IPv6 puis un serveur IPv4, le serveur IPv4 ne sera jamais utilisé) et puis un maximum d'essais en tout.

Un client DNS maintient 1 liste unique de serveurs DNS, IPv6 ou IPv4 ca importe pas.

Les entrées en IPv6 dans cette liste ne peuvent provenir que de la configuration d'IPv6 (manuelle, dhcpv6, rdnss).
ils sont ordonnés comme suit:
manuelle toujours en 1er
DHCPv6 ensuite
RDNSS sécurisé ensuite
RDNSS non sécurisé ensuite
Chaque entrée a un lifetime et en cas d'égalité de priorité (2 RDNSS par exemple), la plus récente est plus haut dans la liste.

Les entrées en IPv4 ne peuvent provenir que de la configuration d'IPv4 (manuelle, dhcp). Elles sont après les entrées en IPv6 (en auto du moins, en manuel on fait ce qu'on veut).

Définissez : trafic "initié depuis"!

c'est juste le fonctionnement classique d'un "statefull firewall", le truc par défaut qu'on trouve partout, l’équivalent de ce que fait un NAT 1:N en IPv4 (sauf qu'en IPv6 y'a pas de changement d'adresse et port): tout trafic venant de l’extérieur et qui ne correspond pas au retour d'un trafic initié depuis l’intérieur sera bloqué.

donc tout trafic initié depuis l’extérieur sera bloqué. C'est ce que fait  la box Orange en IPv6 mais pas la Freebox par exemple qui elle laisse tout passer.

ps: j'ai débloqué ce sujet, je ne sais pas pourquoi il a été bloqué.

Donc avec presque tous les inconvénients du NAT 1:N.

Et ça ne répond pas du tout à ma question, parce que le fonctionnement du NAT 1:N n'est pas uniforme, dépend du système et de sa configuration. Sous linux, il dépend des modules chargés et de divers paramètres configurables.

Le NAT 1:N de la Freebox ne permet pas d'inventer un protocole arbitraire sur certains ports connus, il n'est pas neutre.

quelle question ?

Je parle de NAT 1:N de base, au sens général, sans firewall, par défaut et sans utiliser de configuration spécifique (et pas spécifiquement de Linux). bref le NAT 1:N que tout le monde connait.