дабы не повторяться, напишу тут: помогите, пожалуйста составить пример обратной реализации, т.е. что бы сначала все порты заблокировать на 3326s, а потом нужные открыть (например открыть 9730, а остальные блокированы).
Спасибо!

Открываем порт 9730:
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 permit
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 9730

Закрываем все остальные:
create access_profile ip tcp dst_port_mask 0x0000 profile_id 2 deny
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 0

блин, понял теперь смысл, а то переворачивал из второго поста ))), спасибо за оперативность и внимание!!! Всего хорошего!!!

Извиняюсь, но хотел бы уточнить. На 3326s на 1порту типа сервер (чатовский сервер порт 9730), мой компьютер на 9 порту, мне надо все заблокировать все, кроме 9730 (что бы в чат заходили все). По тому, что вы написали у меня получилось открыть доступ на сам 3326 (23 и 80). Сканирую порты на 3326 - 23 и 80 открыты и все. Сканирую сервер ничего. Спасибо.

Укажите точно какие source и destination порты это приложение использует.

Понимаю что претендую на звание чайника в вопросе tcp, udp протоколов, но запутался. Ситуация: Сервер: 192.168.0.1 чат commfort 3.0 использует порт 9730. машина 192.168.0.25 через 9 физический порт 3326s. Пишу правила, согласно второму посту - только веб и телнет, пинг до сервера идет, скан порта 9730 нет. Чатом в расположенные в инете сервера достучался по 9730.
Кстати, в файерволле прописал на чат: Разрешить исх на TCP 9730, разрешить исх на UDP 9730, Разрешить UDP с 1025. UDP глушил раньше на сервере, оставляя только tcp - просто пропадала возможность перекачки файлов.
Извиняюсь за безграмотность, но толком информацию пока не могу найти. Спасибо.

Попробуйте так:

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 permit
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 9730

create access_profile ip udp dst_port_mask 0xFFFF profile_id 2 permit
config access_profile profile_id 2 add access_id 1 ip udp dst_port 9730

create access_profile ip tcp dst_port_mask 0x0000 profile_id 3 deny
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 0

create access_profile ip udp dst_port_mask 0x0000 profile_id 4 deny
config access_profile profile_id 4 add access_id 1 ip udp dst_port 0

Я так понимаю, в третьей строке не udp блокировать, а tcp? а в 4 именно udp (так же как я понял разницы нет какой протокол раньше - запрещающие все идут последними.)
Ну вот, сделал я так: сканирую tcp порты 3326s: 23 и 80, все. Сканирую udp: ничего. Хорошо, убрал запрет tcp (третье правило, а udp запрет остался) чат залинковался. Сканирую порты сервера: 9730.
Дальше, что бы точно определиться: при рабочем чате брандмауэром отрубаю udp, т.е. оставил только tcp 9730 разрешить, перезагружаю чат - ок, регистрация есть.
Блин, третий день не пойму что я делаю нетак. Мне только tcp 9730 открыть. ((( Я бы бросил и файерволом на сервере бы отрубил лишнее, но сквозных пакетов много лишних, пожалуйста помогите разобраться, да и интересно разобраться.
P.S.: может надо: DES-3326S Fast-Ethernet Switch; Firmware Version Build 3.00-B24 ; Hardware Version 2B1 . Заранее спасибо!

Всё правильно. Я поправил. Не думаю что дело в прошивке, но попробуйте обновить до версии 4.03-B13. Она лежит на нашем ftp.

Блин, перепрошил, все ок, на заводские установки сбросил, прошивка теперь 4.03-B13. Прописываю все сначала (23,80,9730 - разрешаю, остальное deny по маске 0х0000) и опять не отвечает порт на сервере. (((
Схема такая (я уже не знаю какую информацию предоставить):

server (ip 192.168.0.1) --- |3326s (ip 192.168.0.199) [1 port] ....[9 port] | ------- klient (192.168.0.25)

ping ...1 - ok
сканирование tcp на ...199 - 23 и 80.
сканирование tcp на ...1 - ничего.
Помогите разобраться

все, от нечего делать....нет, не вешаться пошел, а тупо прописал дополнительное разрешение:

create access_profile ip tcp src_port_mask 0xFFFF profile_id 3 permit
config access_profile profile_id 3 add access_id 1 ip tcp src_port 9730

и все пошло, проверил на радмине - все пошло, и еще несколько прог, требующих один порт ))) может это и логично и имелось в виду, но для меня это маленькая победа! Спасибо за консультации, всего всем хорошего!