设置新的 pfSense 路由器,我有点困惑如何根据自己的需求选择 IP 别名或代理 ARP。我不要打算设置 HA,所以我认为 CARP 是不必要的。
我有一个由我的 ISP 分配的公共 CIDR 块(203.0.113.0/26),其配置如下:
上行网关:203.0.113.1
广播:203.0.113.63
pfSense WAN:203.0.113.2/26
管理 LAN:10.0.0.1/24
DMZ VLAN:10.0.10.1/26
目标:我希望使用 1:1 NAT 将剩余的公共 IP 路由到 DMZ VLAN 上的虚拟机。这些服务器将是面向公众的 Web 服务器。我做计划使用 pfBlockerNG 来限制不必要的流量。
问题:考虑到目标,配置虚拟 IP 的首选(或唯一)选项应该是哪个,为什么?我已经阅读了 pfSense 文档,但我仍然不能 100% 确定。是否有明确的答案,或者两种方法都可以接受?
https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses.html?highlight=virtual
答案1
我曾多次为公网IP设置1对1 NAT,并且一直使用ProxyARP。
IP 别名和 ProxyARP 之间的主要区别在于,别名还可以绑定到 pfSense 机器上运行的本地服务。由于这不是您要做的,因此没有理由将其设置为允许这样做。(请注意,除了 1 对 1 NAT 之外,ProxyARP 地址还可用于单个端口转发。)
关于设置 ProxyARP 的一个重要注意事项:对于某些提供商,您可以将 pfSense 设置为使用单个 ProxyARP 条目响应整个子网,但对于其他提供商,您需要为每个公共 IP 添加单独的 ProxyARP 条目。我不知道为什么会这样,但我发现对于多个提供商来说都是如此。