IP-uri virtuale pe pfSense

Configurarea unui nou router pfSense și sunt puțin confuz cu privire la cum să aleg între IP Alias ​​sau Proxy ARP pentru nevoile mele. eu nu face intenționez să configurez HA, așa că presupun că CARP nu este necesar.

Am un bloc CIDR public (203.0.113.0/26) alocat de la ISP-ul meu și configurat astfel:

Gateway în amonte: 203.0.113.1
Difuzare: 203.0.113.63
pfSense WAN: 203.0.113.2/26
LAN de management: 10.0.0.1/24
DMZ VLAN: 10.0.10.1/26

Obiectiv: vreau să direcționez IP-urile publice rămase către mașinile virtuale de pe VLAN-ul DMZ folosind NAT 1:1. Aceste servere vor fi servere web destinate publicului. eu do intenționați să utilizați pfBlockerNG pentru a limita traficul nedorit.

Întrebare: Care ar trebui să fie opțiunea preferată (sau singura) pentru configurarea IP-urilor virtuale având în vedere scopul și de ce? Am citit documentația pfSense, dar încă nu sunt 100% sigur. Există un răspuns definitiv sau sunt ambele metode acceptabile?

https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses.html?highlight=virtual

Am configurat NAT 1-la-1 pentru adrese IP publice de mai multe ori și folosesc întotdeauna ProxyARP.

Diferența principală dintre Aliasurile IP și ProxyARP este că aliasurile pot fi, de asemenea, legate de servicii locale care rulează pe mașina pfSense. Deoarece nu este ceea ce faci, nu există niciun motiv să-l configurați pentru ca acest lucru să fie permis. (Rețineți că, pe lângă NAT 1-la-1, adresele ProxyARP pot fi utilizate și pentru redirecționarea portului individual.)

O notă importantă despre configurarea ProxyARP: cu unii furnizori, vă puteți configura pfSense pentru a răspunde la întreaga subrețea cu o singură intrare ProxyARP, dar pentru alți furnizori, trebuie să adăugați o intrare individuală ProxyARP pentru fiecare IP public. Nu știu de ce se întâmplă acest lucru, dar am descoperit că este adevărat cu mai mulți furnizori.