É absolutamente possível fazer isso. Eu trabalho para uma universidade que teve sorte o suficiente para obter uma rede da Classe B (uma rede / 16 na notação CIDR) quando eles estavam passando para fora (muito mais ou menos 20-25 anos atrás). Neste exato momento, minha estação de trabalho, uma mente de estação de trabalho, está estacionada em um endereço IP publicamente roteável. Na verdade, temos relativamente poucos endereços RFC1918 em uso. Os poucos que estão em uso são usados para conformidade com PCI (os padrões obrigam NAT) e gerenciamento de rede. Você simplesmente não pode obter a minha estação de trabalho da Internet pública porque o firewall impede o acesso.
Na verdade, as máquinas em nosso santuário seguro mais interno também estão sendo executadas em endereços IP públicos. Existem dois firewalls entre eles e a internet pública. Quando contratamos "varreduras de segurança" de terceiros, temos a capacidade de fornecer acesso irrestrito a partir de um endereço IP que eles especificam, o que lhes dá a melhor alternativa para a varredura "na mesma rede". E então nós tiramos isso deles, e eles não podem voltar. Isso funciona muito bem. Caramba, é assim que a Internet deveria funcionar em um momento mais confiantes antes que o spam fosse inventado. Ainda pode.
Na verdade, o IPv6 foi originalmente projetado em torno de eliminando a necessidade de NAT . Haverá endereços suficientes para todos, de modo que a necessidade de se esconder atrás de tais gateways foi (na teoria, de qualquer forma) tornada redundante. Em outras palavras, faça a Internet funcionar da maneira que deveria funcionar. O apoio da NAT foi implementado muito tarde no processo, em grande parte devido à firme defesa da parte do establishment do InfoSec que valoriza a invisibilidade como uma medida defensiva.
A principal coisa a ter em mente aqui é que o NAT não é uma função fundamental de um firewall, ele é apenas intimamente associado. Quando usado com um firewall, ele apenas obscurece quais superfícies de ataque podem existir por trás dele. Nosso firewall voltado para a Internet não está fazendo nenhum NAT, e nosso firewall voltado para a intranet está apenas fazendo um pouco (relacionado à PCI).
Eu conheço muitos profissionais de computação que se arrepiam quando descobrem que o endereço IP do dispositivo é publicamente roteirizado. Não é menos seguro que um endereço RFC1918 quando estiver atrás de dispositivos de segurança de perímetro corretamente configurados. Esse conceito de 'IP público é ruim' está consagrado nos padrões PCI e terá que ser reavaliado à luz de implantações mais amplas do IPv6.