IP เสมือนบน pfSense

การตั้งค่าเราเตอร์ pfSense ใหม่ และฉันสับสนเล็กน้อยเกี่ยวกับวิธีการเลือกระหว่าง IP Alias ​​หรือ Proxy ARP สำหรับความต้องการของฉัน ฉัน อย่า ตั้งใจที่จะติดตั้ง HA ดังนั้นฉันจึงถือว่า CARP นั้นไม่จำเป็น

ฉันมีบล็อก CIDR สาธารณะ (203.0.113.0/26) ที่กำหนดจาก ISP ของฉันและกำหนดค่าดังนี้:

เกตเวย์อัปสตรีม: 203.0.113.1
ออกอากาศ: 203.0.113.63
pfSense WAN: 203.0.113.2/26
การจัดการ LAN: 10.0.0.1/24
DMZ VLAN: 10.0.10.1/26

เป้าหมาย: ฉันต้องการกำหนดเส้นทาง IP สาธารณะที่เหลือไปยังเครื่องเสมือนบน DMZ VLAN โดยใช้ 1:1 NAT เซิร์ฟเวอร์เหล่านี้จะเป็นเว็บเซิร์ฟเวอร์สาธารณะ ฉัน ทำ วางแผนที่จะใช้ pfBlockerNG เพื่อจำกัดการรับส่งข้อมูลที่ไม่ต้องการ

คำถาม: ข้อใดควรเป็นตัวเลือกที่ต้องการ (หรือเฉพาะ) สำหรับการกำหนดค่า IP เสมือนตามเป้าหมาย และเพราะเหตุใด ฉันได้อ่านเอกสาร pfSense แล้ว แต่ฉันก็ยังไม่แน่ใจ 100% มีคำตอบที่ชัดเจนหรือทั้งสองวิธีที่ยอมรับได้หรือไม่?

https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses.html?highlight=virtual

ฉันตั้งค่า NAT แบบ 1 ต่อ 1 สำหรับที่อยู่ IP สาธารณะหลายครั้ง และฉันใช้ ProxyARP เสมอ

ข้อแตกต่างหลักระหว่าง IP Aliases และ ProxyARP คือนามแฝงยังสามารถเชื่อมโยงกับบริการในพื้นที่ที่ทำงานบนเครื่อง pfSense เนื่องจากนั่นไม่ใช่สิ่งที่คุณกำลังทำอยู่ จึงไม่มีเหตุผลที่จะตั้งค่าให้อนุญาต (โปรดทราบว่านอกเหนือจาก NAT แบบ 1 ต่อ 1 แล้ว ยังสามารถใช้ที่อยู่ ProxyARP สำหรับการส่งต่อแต่ละพอร์ตได้อีกด้วย)

หมายเหตุสำคัญประการหนึ่งเกี่ยวกับการตั้งค่า ProxyARP: สำหรับผู้ให้บริการบางราย คุณสามารถตั้งค่า pfSense ของคุณให้ตอบสนองต่อซับเน็ตทั้งหมดด้วยรายการ ProxyARP รายการเดียว แต่สำหรับผู้ให้บริการรายอื่น คุณต้องเพิ่มรายการ ProxyARP แต่ละรายการสำหรับ IP สาธารณะแต่ละรายการ ฉันไม่รู้ว่าทำไมจึงเป็นเช่นนี้ แต่ฉันพบว่าเป็นจริงกับผู้ให้บริการหลายราย