IP ảo trên pfSense

Đang thiết lập bộ định tuyến pfSense mới và tôi hơi bối rối về cách chọn giữa Bí danh IP hoặc Proxy ARP cho nhu cầu của mình. Tôi đừng có ý định thiết lập HA, vì vậy tôi cho rằng CARP là không cần thiết.

Tôi có một khối CIDR công khai (203.0.113.0/26) được chỉ định từ ISP của mình và được định cấu hình như sau:

Cổng ngược dòng: 203.0.113.1
Phát sóng: 203.0.113.63
pfSense WAN: 203.0.113.2/26
Quản lý mạng LAN: 10.0.0.1/24
Vlan DMZ: 10.0.10.1/26

Mục tiêu: Tôi muốn định tuyến các IP công cộng còn lại tới các máy ảo trên DMZ VLAN bằng NAT 1:1. Những máy chủ này sẽ là máy chủ web công khai. Tôi làm dự định sử dụng pfBlockerNG để hạn chế lưu lượng truy cập không mong muốn.

Câu hỏi: Tùy chọn nào được ưu tiên (hoặc duy nhất) để định cấu hình IP ảo cho mục tiêu và tại sao? Tôi đã đọc qua tài liệu pfSense, nhưng tôi vẫn không chắc chắn 100%. Có câu trả lời dứt khoát hay cả hai phương pháp đều được chấp nhận?

https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses.html?highlight=virtual

Tôi đã nhiều lần thiết lập NAT 1-1 cho các địa chỉ IP công cộng và tôi luôn sử dụng ProxyARP.

Sự khác biệt chính giữa Bí danh IP và ProxyARP là bí danh cũng có thể được liên kết với các dịch vụ cục bộ đang chạy trên máy pfSense. Vì đó không phải là điều bạn đang làm, nên không có lý do gì để thiết lập để cho phép điều đó. (Lưu ý rằng ngoài NAT 1-1, các địa chỉ ProxyARP cũng có thể được sử dụng để chuyển tiếp cổng riêng lẻ.)

Một lưu ý quan trọng về việc thiết lập ProxyARP: với một số nhà cung cấp, bạn có thể thiết lập pfSense của mình để phản hồi toàn bộ mạng con bằng một mục ProxyARP duy nhất, nhưng đối với các nhà cung cấp khác, bạn cần thêm một mục ProxyARP riêng lẻ cho từng IP công cộng. Tôi không biết tại sao lại như vậy, nhưng tôi thấy điều này đúng với nhiều nhà cung cấp.