Existe outro problema com o cgnat, reparem que para efeitos legais, nao existe um ip público para culpar alguém, então o operador tem que sniffar todo o tráfego da rede para conseguir chegar ao utilizador final. Ou, usar outra alternativa.
Claro que no meio deste, existe um lado positivo, eles podem vender um pacote de segurança, e oferecer um IntrusionPreventionSystem, e bloquear na rede worms, sites maliciosos, e tentativas de phishing. Apesar de para isto se concretizar é necessário ter sistemas capazes de fazer check a tudo e conseguir entregar velocidades gigabit. Eu tenho uma unifi dream machine e com o sistema activo tenho um decréscimo de 100mb no upload que passa de 950 para 850.
Depois tudo que não lhes agradar e facilmente rejeitado, seja vpn, tráfegos iptv, e fazer check aos cabeçalhos de tráfego que não seja do interesse deles ( apesar de já fazerem isto em clientes marcados ).
E preparem se para verificações captcha, muitos captcha! Porque até o Google vai detectar bastante tráfego do mesmo ip, e vai fazer verificações constantemente. Cloudflare vai ser um pesadelo de captcha também.