どうやら動的フィルタにマッチさせるには先に静的フィルタにマッチしていないとダメらしい。
んなアホな？と思うのですがこれが何故かダメなんですね。例えばDNSの解決だったら、

ip filter dynamic 81 * * domain
ip pp secure filter out dynamic 81

だけでいいはずなのですが、実際には、

ip filter 10 pass * * * * domain
ip filter dynamic 81 * * domain
ip pp secure filter out 10 dynamic 81

としないとダメ。わけ分からん。
マニュアルにもそんなことは書いてないんですけどねぇ…。

ま、意図したとおりに動いたからいっか。