Segue abaixo o ambiente proposto.
Acima temos as direções dos pacotes de entrada(IN) e saída(OUT) ou ainda inbound ou outbound que são a mesma coisa.
Criaremos somente regras para a WAN, abaixo segue as regras, faremos uso de regras reflexivas para tratar trafegos estabelecidos.
A proposta de segurança para este exemplo de teste e o seguinte.
Poderiamos refinar essa regras informando a origem no nosso caso 2804:ff0::/32
ipv6 access-list WAN_IN permit tcp any host 2804:FF0:4:0:EA40:40FF:FEE7:ED20 eq 22 permit tcp any 2804:ff0:3::/64 eq 53 permit udp any 2801:ff0:3::/64 eq 53 permit icmp any any evaluate SAIDA
ipv6 access-list WAN_OUT permit icmp any any reflect SAIDA permit tcp any any reflect SAIDA permit udp any any reflect SAIDA
Segue um desenho para ficar mais claro
Att.