Alors je me réponds, en fait la section pare feu ipv6 le fait déjà, même si c'est expliqué autrement.
Par exemple, pour atteindre mon ftp en v6 , je dois ajouter l'adresse dans la règle de pare feu, avec * en source. Si l'on ajoute rien, ce n'est pas accessible. Donc on est pas "à poil" quand on active l'ipv6 sans firewall coté client, bonne nouvelle.