Тема не раз уже обсуждалась, но всё таки не могу понять как оно работает.
Имеется свич des3526, pppoe сервер на debian-е.
Работающее правило по фильтрации PADO пакетов (которое на форуме не раз постилось):
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny

На сколько я понимаю, offset_16-31 это смещение битов в пакете, т.е. в пакете просматриваются с 16 по 31 биты.
При этом так выглядит PADO пакет от сервера (сниферил wireshark-ом и tcpdump-ом):

0000 00 24 8c ac db 94 08 00 27 aa b5 29 88 63 11 07[ .$...... '..).c..
0010 00 00 00 32 01 02 00 06 64 65 62 69 61 6e 01 01 ...2.... debian..
0020 00 00 01 04 00 14 b0 28 f3 8d 56 36 c3 bf ee 50 .......( ..V6...P
0030 95 c1 7b 13 5c 30 87 07 00 00 01 03 00 08 06 00 ..{.\0.. ........
0040 00 00 0b 00 00 00 ......

Т.е. судя по пакету правило должно было выглядеть так:
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF00FF profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x88630007 port 1-24 deny

Объясните, пожалуйста, почему оно работает по первому варианту, а не по второму. Или если есть подробный мануал по этому делу, то кинте ссылочку пожалуйста.

потому-что внутри этого свича все пакеты тегерированные, в вашем правиле этот тег не учитывается.

Даже если сервер и комп включены в один в свич в котором все порты нетегированные?

Да, это особенность чипа на 3526 - там в любом случае все пакеты внутри свича будут тегерированные.
На 3028 уже немного по другому, там уже есть различия.