Uma resposta que você não vai gostar é que é muito difícil proteger contra falsificação quando você não sabe quais endereços são válidos para aceitar.
O 6to4 usa um endereço IPv6 que é encaminhado para uma caixa 6to4 do tradutor, que o encaminha de volta para o seu endereço IPv4. Além de verificar se o endereço de entrada é seu, não há muito o que fazer em termos de filtragem antifalsificação.
No entanto, depois de obter o pacote, você deve continuar a aplicar regras de firewall padrão a ele. Ele ainda será um fluxo TCP ou um pacote UDP assim que ele chegar à sua caixa, e um bom lugar para começar lá será qualquer filtro que você esteja fazendo no lado do IPv4.