Собственно вот

Что не так?
Задача - запретить хождение всего кроме фтп по 21 порту.
Чтото ничего не получается
Свитч DES-3828

Вы этими правилами разрешили 21 порт и запретили 0 порт.

Необходимо использовать правила:

create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 21 port 1-26 permit
create access_profile ip tcp dst_port_mask 0x0000 profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 0 port 1-26 deny

Ясно, спасибо.
А чтобы в профиль попадали только адреса из диапазона 192.168.0.0/16 необходимо указать Source IP Mask 192.168.0.0 или 192.168.255.255?

255.255.0.0. Там где нужно точное совпадение должны быть единицы, там где может быть любое число нули.

а вы думаете что протокол фтп использует только порт 21 для передачи информации ? Это не так --- по 21 порту только устанавливается соединение - вся дата гоняется по высшим портам . Так что закрыв все порты кроме 21 вы по сути убьете протокол tcp.

Достаточно 20 и 21 порты открыть для ftp.

И то, и другое - "полуправда".
Жизнь гораздо хитрее и интереснее:
1) как уже отмечено выше, протокол фтп предполагает наличие двух каналов: один для передачи управляющих команд (tcp-порт 21 на стороне сервера), а второй для обмена данными;
2) чаще всего и тот и другой каналы устанавливаются между двумя хостами: один из них фтп-клиент, другой - фтп-сервер. НО! возможна схема, когда в "мероприятии" участвуют ТРИ хоста: один управляющий фтп-клиент, один фтп-клиент, получающий (или передающий) данные, и фтп-сервер;
3) и самое главное. То, как будет образован канал для передачи данных, зависит от выбранного режима работы фтп-протокола - активного или пассивного. В первом случае на фтп-сервере для обмена данными используется tcp-порт 20, во втором - tcp-порт на сервере выбирается из некоторого определённого диапазона.

And moral is: не стоит пытаться решать данную задачу на уровне коммутатора - mission impossible!

вообще-то из контекста непонятно как человек будет использовать сервер для доступа к нему пользователей или для работы . Если для первого то у большинства из них стоит фаервол и активный режим не прокатит - так как все попытки подключений на кратковременный +1 порт со стороны сервера будут блокироваться.

Задача выглядет следующим образом
Есть сеть 192.168.100.0/24 в которой расположены фтп сервера, сеть подключена через интерфейс 192.168.100.1 в DES-3828 и назначен сотый vlan. К свитчу подключены сети в диапазоне 192.168.x.0/24, каждая в своем vlan и имеет по умолчанию доступ во все сети.
Так вот, хотелось бы чтоб сети могли друг к другу ходить только по одному порту ( фтп был взят только для примера ), а в сеть 192.168.100.0/24 без ограничений.
Собственно, всемогучий all, подскажите правила для этого.

Вы на правильном пути. Осталось в указанный профиль добавить source IP mask и destination IP mask и создать нужные разрешающие и запрещающие правила.

Вот, кой чё набросал
Задача
1. Обеспечить беспрепятственное прохождение пакетов из сети 192.168.100.0/24 во все подсети 192.168.0.0/16 и обратно
2. Разрешить подсетям 192.168.0.0/16 соединяться друг с другом по порту bnet (tcp & udp 6112)
3. Запретить любое хождение пакетов между подсетями 192.168.0.0/16
4. Разрешить хождение в интеренет

И так:
#создаем профиль для подсети 192.168.0.0/16 без фильтрации по протоколу или иным признакам кроме ip для прохождения в сеть 192.168.100.0/24 и обратно

# Далее разрешаем подсетям 192.168.0.0/16 общаться только по порту bnet(udp & tcp 6112)

# Запрещаем любое хождение между подсетями 192.168.0.0/16

# Всё что не попало под запрещение - разрешено, т.е. разрешен Интернет, т.к. не относится к 192.168.0.0/16

Правильно всё сделано или нет?
Зачот?

Единственное приведите маски к нормальному виду. Для подсети 192.168.100.0 укажите 255.255.255.0, а для подсети 192.168.0.0 255.255.0.0. А так зачёт!