firewallの設定にて

VLANを接続したVyattaがいる場合に in と out としてFirewallを管理します。
しかしこれがどっちがどっちがややこしい。

というわけで実機を用いて確認しました。

環境

VLANの中にいるサーバA
VLANの外にいるサーバB

サーバAからサーバBへの接続を止めたいとします。
その時にやるべきなのは...

set security firewall name TEST-IN rule 10 action drop
set security firewall name TEST-IN rule 10 destination address サーバB
set security firewall name TEST-IN rule 10 source address サーバA

これです。

つまり、Vyattaから見れば内側から入ってくるところなので「IN」。
逆にサーバBから入ってくるところを塞ぎたいならOUTを防ぎます。

ややこしや。