こんばんは。前回の補足的内容になるのですが、動的フィルタと静的フィルタを組み合わせて複数のVLANから内部DMZへの片方向通信を行うための設定を書き上げました。複数のVLANにおいてフィルタを追加するので、うっかり本来出来ていた通信が出来なくなってしまうのが怖いです。ルーチンになってくると危ないですよね。(^^;

　間違うと洒落にならないので、間違わないための確認事項を挙げてみます。以下の通りです。

1. まず、通信拒否したい方向の静的フィルタ(reject)を書いておく
2. 通信許可側の静的フィルタ(pass)を書いておく
3. 通信許可側の動的フィルタ(dynamic pass)を書いておく
4. 通信拒否したい方向の設定で、まずicmpは通すように最初に記述する
5. そして、通信拒否したい静的フィルタを列挙しておく
6. 最後にそれ以外を通すための全通静的フィルタを記述しておく
7. 通信許可したい方向の設定で、こちらもicmpを通すように最初に記述する
8. 次に、トリガとなるパケットを通すように許可する静的フィルタを記述する
9. 最後に許可したい動的フィルタを列挙する

　という手順に沿ってフィルタを適用すると、間違わずに設定出来るように思います。

　実際にアクセス制御したいVLANが複数存在する場合、一気に設定しようとはせず。まず1つ確実に動くようにしてから、他のフィルタを適用するのが無難かと思います。一度深みに嵌ると簡単に抜け出せませんから…。(^^;