無線LAN接続の場合インターネットへの接続だけ許可

　残念ながら、NVR500にはタグVLANしか実装しておらず、Buffalo無線LANアクセスポイント間を、タグVLAN構築するしか方法が無いかと思います。 　NVR500の基本LANインターフェイスを192.168.10.1/24等の設定をしておき、タグ付きVLANポートとして、LAN1の2番目をタグ付きにする場合、「vlan lan1/2 802.1q vid=2」→「ip lan1/2 address 192.168.2.1/24」と設定しましたら、LAN１の2ポート目はタグ付きの192.168.2.0/24のグループになります。 　サーバを192.168.10.200/24等の設定にしておき、192.168.2.0/24から192.168.10.0/24へのアクセスをIPフィルタリングしておけばOKかともいます。 　Buffalo無線LANアクセスポイントには、LANポート毎にタグ付きVLAN設定が可能ですので、例えば有線LANポート＃２を192.168.2.100/24等にしておけば、タブレットやスマホなどのIPセグメントの分割は可能かと思います。 　尚、NVR500のDHCPサーバ機能として、192.168.10.0/24グループのDHCPスコープ機能と、192.168.2.0/24のDHCPスコープ機能を設定しないと、それぞれのLANインターフェイス接続機器に対して、IPアドレス付帯は出来ません。 　192.168.10.0/24グループと192.168.2.0/24間のフィルタリングルールですが、下記を参考にして下さい。 　ip lan1/2 secure filter in 9001 9900 　ip lan1/2 secure filter out 9002 9900 ip filter 9001 reject 192.168.10.0/24 192.168.2.0/24 ip filter 9002 reject 192.168.2.0/24 192.168.10.0/24 ip filter 9900 pass * * dhcp scope 1 192.168.10.2-192.168.10.100/24 gateway 192.168.10.1 dhcp scope 2 192.168.2.2-192.168.2.100/24 gateway 192.168.2.1 　尚、インターネットセッションを共有される場合と、複数セッションにて、インターネットも分割される場合には、NATエントリー別にnat masquarade outer とnatmasquarade innerにてセッション分割を実施して下さい。

YAMAHA系のルーターは分厚い本が出ています（例：ネットワークエンジニアのための ヤマハルーター実践ガイド （技術評論社））ので、それみて設定してください。 それか、公式HPでもちょろっと設定例の記載があったりしますよ。（https://network.yamaha.com/products/routers/nvr500/setting） 正直、貴方の会社のネットワーク構成や設定等が分からないので、「具体的な」と言われても無理な話です。会社のネットワーク技術者（管理者）と話しながらルールを決めてください。