こちらの方のパクリではあるが、Yamahaルーターにおいて、Vlan配下でDMZ的な物を作りたいときのメモ。

シチュエーションはこんな感じ
・lan1インターフェースはタグVlanで拡張されている。
・Vlan101(Vlan ID=101)は公開系とか、非サポートOS隔離系Vlanとして利用
・Vlan1が管理Vlanで普通のデバイスはここに所属。
・Vlan1->Vlan101へは自由に通信したい(ファイルのUp,Down)
・Vlan101->インターネットへは制限しない(後で考えることにする)
・Vlan101->Vlan1への通信は防止したい
・管理Vlanはipv6アドレスをRAしているが他Vlanでは行っていない。
・双方pingは通す

コンフィグは下記のようになる。

ip filter 4000 pass * * icmp
ip filter 4001 reject 10.10.101.0/24 192.168.50.0/24
ip filter 4002 pass 192.168.50.0/24 10.10.101.0/24

ip filter 4003 pass * *
ip filter dynamic 200 192.168.50.0/24 10.10.101.0/24 tcp
ip filter dynamic 210 192.168.50.0/24 10.10.101.0/24 udp

ip lan1/1 secure filter in 4000 4001 4003
ip lan1/1 secure filter out 4001 4003 dynamic 200 210

yamahaの公式解説はここだがちょっとわかりにくい。

まずVlan101->1への通信をrejectするフィルタを入れておき、dynamicフィルタで許可させることが重要ポイント。
rejectフィルタがdynamicフィルタを発動させる条件になるらしい。

ちなみに、上記例だとpingは通ってしまうので、疎通確認はiperfなどで行うのが良い。
また一つ賢くなった。