ситуация получилась в следующем. в действительности нада было не тегированный порт сместить на 4 байта влево. но всё это заработало, когда я убрал правила на разрешения маков. появился вопрос, влияет ли номер правила(id) на приоритет?

Ни фига не понял. Что за "правила на разрешения маков"? Приведи все свои ACL - будем смотреть... А номер, конечно, на приоритет влияет. Профили и правила обрабатываются в порядке возрастания их номеров, после "срабатывания" правила следующие не выполняются.

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny
config access_profile profile_id 1 add access_id 58 ethernet source_mac 00-16-36-AC-73-C0 port 1 permit
config access_profile profile_id 1 add access_id 59 ethernet source_mac 00-13-D4-6D-00-55 port 1 permit
............................................

Потом пишу запрет на tcp/udp

create access_profile packet_content_mask offset_32-47 0x0 0xffff0000 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content offset 36 0x23300000 port 1 deny

Этот запрет будет работать, когда удалю первые два профиля с масками

Ну естесственно. Ведь этими двумя правилами:

ты запрещаешь весь трафик на первом порту.

кроме указанных маков

Ага. Но поскольку указанные МАКи обрабатываются первым профилем - до третьего, где проверяются порты, дело даже не доходит.... Вынеси ACL по проверке портов перед проверками МАКов и все будет нормально... Вообще, стратегия построения ACL должна быть примерно такой:
1) Сначала глобальные профили, от действия которых зависит остальная работа. Например, зарезание спуфинга адреса основного шлюза, или - применительно к 3028 - разрешение всего трафика на магистральных портах 25-28, чтобы потом иметь возможность к портам 1-24 назначать правила указывая "ports all", дабы экономить правила/профили....
2) Потом различные фильтрующие и т.п. профили в порядке от частного к общему. Например, сначала зарезаем все ненужные порты и разрешаем dhcp запросы от клиентов, а потом - зарезаем все ethernet бродкасты. Ну и так далее.
3) В конце - правила ограничивающие доступ конкретным хостам. Либо по МАКам, как в твоем случае, либо (но это на 3526) в виде IMP binding....

Естесственно, все указанное - мое личное мнение основанное на личном опыте. Но, вроде, работает все и не жалуется.

о, сеня попробую. большое спасибо