Tenha em mente que não há "intervalos locais" de IPv6 - cada "intervalo local" de IPv6 é seu próprio (pelo menos) / 64 segmentos de endereços da v6 em um prefixo especificamente definido. Como tal, qualquer endereço de 'intervalo privado' que você receber será específico para a sub-rede em que seu roteador o configura, em vez do endereço externo v6 que você tem (há lógica dentro dos roteadores para configurar as sub-redes automaticamente, mas quando você entra Roteamento de nível empresarial com firewalls avançados, roteadores, switches, etc., o IPv6 precisa ser configurado manualmente e configurado.
Quando você adiciona à equação que você possivelmente (e frequentemente) tem uma sub-rede em mudança o tempo todo, não há como aceitá-los dinamicamente sem aceitar todas as conexões de entrada IPv6 - pelo menos em uma rede de consumidor configuração (com um dispositivo de firewall muito mais complicado e muito mais caro, você pode fazer explicitamente a separação da VLAN para evitar que as coisas se comuniquem com o exterior e aceitar apenas a interna v6, mas você não pode fazer isso em roteadores de nível de consumidor tecnologias).
Além disso, as regras de firewall foram criadas em ufw (e as tecnologias iptables e netfilter subjacentes com as quais o ufw trabalha) para ter regras específicas (como ALLOW aaaa:bbbb:cccc:dddd::dead:beef INBOUND TO dddd:eeee:ffff:0000::dead:beef PORT 22/tcp não é uma regra, mas apenas um exemplo)) e se você está sempre tendo endereços diferentes em sub-redes v6 diferentes (interna ou externamente, mas especialmente internamente), ela quebra os requisitos que os firewalls têm para esses tipos de regras.
Por isso, você precisa conhecer todas as sub-redes que receberá e adicionar uma regra ufw que seria para cada sub-rede individual. Se essa sub-rede estiver sempre mudando e você não souber qual sub-rede obterá, não será possível criar com segurança uma regra de firewall em qualquer configuração que possa fazer o que deseja realizar de forma dinâmica e em constante mudança.
Isso também se aplica ao encaminhamento de porta em casa - não é possível configurar com segurança uma porta a menos que o endereço IP interno (v4 ou v6) não seja alterado. (O roteador manipula INBOUND de forma transparente da Internet, por conta própria, desde que você configure o v6 interno em uma configuração estática, mas não pode garantir que isso acontecerá sem configurações e configurações de rede muito mais demoradas e possivelmente mais equipamentos de nível empresarial que podem ficar caros)