Смысл этих 2-х опытов - показать, что не смотря на то, что мы запретили прохождение любых ip-пакетов на 2-м порту, любые пакеты проскакивают с одного порта на другой. Т.к. у меня нет на этих машинах анализаторов пакетов, то выбрал такой вид проверки: если случился конфликт адресов, значит пакеты появились на обоих портах и, следовательно, прошли через коммутатор.

Высоко ценю Вашу помощь, но, в принципе, как строить правила мне понятно.
VLANы не использую, а применяю Traffic Segmentation.
В принципе задача проста - разрешить только то, что разрешено: ненужные пакеты не должны появиться на портах сервера, ненужные пакеты на клиентских портах должны быть отброшены.

Пакеты не проходят с порта на порт. В этом и есть недопонимание.