Виртуальные IP-адреса на pfSense

Настраивая новый маршрутизатор pfSense, я немного не понимаю, как выбрать между IP-псевдонимом или прокси-ARP для моих нужд. я не делайте намереваюсь настроить HA, поэтому я предполагаю, что CARP не нужен.

У меня есть общедоступный блок CIDR (203.0.113.0/26), назначенный моим провайдером и настроенный следующим образом:

Восходящий шлюз: 203.0.113.1
Вещание: 203.0.113.63
глобальная сеть pfSense: 203.0.113.2/26
Локальная сеть управления: 10.0.0.1/24
DMZ-VLAN: 10.0.10.1/26

Цель: я хочу направить оставшиеся общедоступные IP-адреса на виртуальные машины в DMZ VLAN с использованием NAT 1:1. Эти серверы будут общедоступными веб-серверами. я делать планируете использовать pfBlockerNG для ограничения нежелательного трафика.

Вопрос: Какой вариант настройки виртуальных IP-адресов для данной цели должен быть предпочтительным (или единственным) и почему? Я прочитал документацию по pfSense, но все еще не уверен на 100%. Есть ли окончательный ответ или оба метода приемлемы?

https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses.html?highlight=virtual

Я несколько раз настраивал NAT 1-к-1 для общедоступных IP-адресов и всегда использую ProxyARP.

Основное различие между псевдонимами IP и ProxyARP заключается в том, что псевдонимы также могут быть привязаны к локальным службам, работающим на машине pfSense. Поскольку это не то, что вы делаете, нет причин настраивать это, чтобы это было разрешено. (Обратите внимание, что в дополнение к NAT 1-к-1 адреса ProxyARP также могут использоваться для переадресации отдельных портов.)

Одно важное замечание о настройке ProxyARP: с некоторыми провайдерами вы можете настроить pfSense для ответа на всю подсеть с помощью одной записи ProxyARP, но для других провайдеров вам необходимо добавить отдельную запись ProxyARP для каждого общедоступного IP-адреса. Я не знаю, почему это так, но я обнаружил, что это верно с несколькими поставщиками.