Как сделать так чтобы трафик не проходил между вланами?

Если имена vlan-ов на маршрутизаторе вида vlan1, vlan2 и т.д., тогда на нём же:

iptables -I FORWARD 1 -i vlan+ -o vlan+ -j DROP

Решение задачи при другой схемы именования vlan-ов и сохранение данной настройки при перезагрузке предлагаю выполнить самому

Это работает

Это работает, единственное что вланов у меня пока 5. Получается для каждого влана надо написать по 4 правила. А можно по какому то критерию сделать отбор? У меня название интерфейса ens9. Название дополнительных ens9.130, ens9.131 и т.д. Или iptables не поймет и надо написать скрипт, а в нем уже в цикле по интерфейсам пройтись?

Это работает, единственное что вланов у меня пока 5. Получается для каждого влана надо написать по 4 правила.

Что?

Знак + в данном правиле означает любое количество символов. То есть под это правило подпадает трафик с vlan1 на vlan2, с vlan2 на vlan3, с vlan500 на vlan1000 и так далее.

Значит если у тебя все vlan-ы на ens9, то ОДНО правило вида:

iptables -I FORWARD 1 -i ens9+ -o ens9+ -j DROP

Запретит трафик между всеми комбинациями этих vlan-ов.

Побочный эффект - если у тебя есть интерфейс например ens91 или ens90 - туда трафик тоже будет запрещен. Как решить эту задачу - (и надо ли её решать, если интерфейсов с такими именами не предвидится) подумай сам.

Вы ответили на мой вопрос

Не обратил внимание на плюсики после названия vlan. Это и есть ответ на мой вопрос.

Маска ens9.+. Спасибо за помощь