C'est comme IPV4, mais sans NAT.
Au plus simple, il faut distribuer le prefixe FAI qui est un préfixe GUA, aux machines internes.
Pour ça, tu utilises les RA (Router Advertisment) du routeur.
Du coup elles deviennent accessibles depuis L'Internet, et vers l'Internet, puisque le préfixe est GUA (une adresse publique si tu préfères).
Tout le reste, se situe niveau firewall : interdire l'entrée pour tlm, interdire l'entrée pour tel port pour telle machine, etc...
Après, il y a pas mal de tuto, et d'excellents livres ou formations libres et ouvertes, sur le Web, concernant IPV6.