Во здесь подробно описано как составляется PCF правило:
DES-3200: http://dlink.ru/ru/faq/62/954.html
DES-3526: http://dlink.ru/ru/faq/62/240.html
Для DES-3552 подойдет указанное Вами правило от DGS-3627G c поправкой на синтаксис в профиле:

Cостряпал правило для DES-3526 и нетагированного порта доступа без энкапсуляции:

create access_profile packet_content_mask offset_16-31 0x0 0x0 0xFFFFFFFF 0xFFFFFFFF offset_32-47 0x0 0xFFFFFFFF 0xFFFF0000 0x0 offset_48-63 0x0 0x0 0x0000FFFF 0xFFFFFF00 profile_id 40
config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000000 0x00380000 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x7FFFFFFF 0x00030000 0x0 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_48-63 0x0 0x0 0x00007FFF 0xFFFFAB00 port 1-24 deny

На DES-3526/50 нет разницы тегирован пакет в реальности или нет на входе в коммутатор. Сдвиг в 4-ре байта за счет 802.1q нужно всегда учитывать.

Тоесть неправильно написал?

Неизвестно для какого типа трафика (tag/untag) приведены Ваши правила, взятые как образец. Вы их проверяли на оборудовании?

Сам пока не делал захват пакета с коммутатора, думаю на неделе сделаю. Примеры похоже в том форуме приводятся с обородования выше доступа, без tag, уровень агрегации сегмента или ядра. Но если искомые данные надо сместить на 4 байта в право, то я поправлю правила.

Лучше поймать пакетики снифером и посмотреть, либо проверить оба варианта. Гадать не имеет смысла.

Поставил версию uторрента 3.1.3 Запустил его и смотрел wireshark-ом на обмен (прямо со своей сетевой карты пока без режима зеркалирования порта). Лавина мелких пакетов страшная конечно если глянуть статистику. Особенно обратил внимание на бомбардировку DNS сервера многочисленными запросами в момент запуска. Ещё заметил что начались активные попытки послать IPV6 траффик внутри IPV4 а также в чистом виде.
Выловил основные гадкие пакеты по мотивам старых фильтров которые наработали люди до меня.

Выяснил что ключи к пакетам 00:38:00:00 и 7f:ff:ff:ff ( и 7f:ff:ff:ff:ff) Самые многочисленные пакеты с 00:38:00:00 Засада в том, что все они в одном ряду, и придётся создать три профиля для точного вырезания.
Правила уже сделал, осталось проверить что и как будет работать.

***************************************
Фильтр для просмотра в Wireshark - udp contains 00:38:00:00

0000 40 01 c6 8d a3 01 6c f0 49 a1 69 45 08 00 45 00 @.....l. I.iE..E.
0010 00 30 55 c9 40 00 80 11 00 00 5a 9b 9b 09 bc e6 .0U.@... ..Z.....
0020 08 24 c7 38 54 2a 00 1c ba dc 21 00 95 7d 02 18 .$.8T*.. ..!..}..
0030 8b a9 bc c7 7b c9 00 38 00 00 33 33 f5 96 ....{..8 ..33..

0000 40 01 c6 8d a3 01 6c f0 49 a1 69 45 08 00 45 00 @.....l. I.iE..E.
0010 00 3a 55 d4 00 00 80 11 00 00 5a 9b 9b 09 5e 1d .:U..... ..Z...^.
0020 7d 60 c7 38 56 ce 00 26 d1 59 41 02 e1 66 02 19 }`.8V..& .YA..f..
0030 b0 68 00 00 00 00 00 38 00 00 25 33 00 00 00 08 .h.....8 ..%3....
0040 00 00 00 00 00 00 00 00 ........
***************************************
Фильтр для просмотра в Wireshark - udp contains 7f:ff:ff:ff

0000 6c f0 49 a1 69 45 40 01 c6 8d a3 01 08 00 45 00 l.I.iE@. ......E.
0010 00 3a 62 51 40 00 78 11 5a 25 d9 75 77 22 5a 9b .:bQ@.x. Z%.uw"Z.
0020 9b 09 be 7a c7 38 00 26 ee d5 21 02 22 38 c7 af ...z.8.& ..!."8..
0030 59 35 7f ff ff ff 00 03 20 00 04 ee 3b c4 00 08 Y5...... ...;...
0040 00 00 00 00 00 00 00 00

0000 6c f0 49 a1 69 45 40 01 c6 8d a3 01 08 00 45 18 l.I.iE@. ......E.
0010 00 3a 57 6d 00 00 76 11 91 ec 5f 18 06 85 5a 9b .:Wm..v. .._...Z.
0020 9b 09 a4 a9 c7 38 00 26 81 be 21 02 62 5f 24 84 .....8.& ..!.b_$.
0030 ea da 7f ff ff ff 00 03 20 00 15 39 6e bb 00 08 ........ ..9n...
0040 00 00 00 00 00 00 00 00 ........

0000 6c f0 49 a1 69 45 40 01 c6 8d a3 01 08 00 45 18 l.I.iE@. ......E.
0010 00 3d e5 2d 00 00 77 11 4a 03 59 de c4 e4 5a 9b .=.-..w. J.Y...Z.
0020 9b 09 0f a1 c7 38 00 29 81 e1 41 02 2a 0e 4f 62 .....8.) ..A.*.Ob
0030 35 aa 00 09 18 3a 7f ff ff ff ff 02 02 17 00 00 5....:.. ........
0040 01 00 08 00 00 00 00 00 00 00 00 ........ ...

0000 6c f0 49 a1 69 45 40 01 c6 8d a3 01 08 00 45 18 l.I.iE@. ......E.
0010 00 3d e5 2e 00 00 77 11 4a 02 59 de c4 e4 5a 9b .=....w. J.Y...Z.
0020 9b 09 0f a1 c7 38 00 29 e3 4c 21 02 2a 0e 4f 62 .....8.) .L!.*.Ob
0030 35 aa 00 09 23 98 7f ff ff ff ff 02 02 4d b3 00 5...#... .....M..
0040 01 00 08 00 00 00 00 00 00 00 00 ........ ...
*************************************
Правила для DES-3526 сделал такие (пока без учётов смещений):
create access_profile packet_content_mask offset_48-63 0x0 0x0000FFFF 0xFFFF0000 0x0 profile_id 40
config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_48-63 0x0 0x0000038 0x0 0x0 port 1-24 deny
create access_profile packet_content_mask offset_48-63 0x0000FFFF 0xFFFF0000 0x0 0x0 profile_id 50
config access_profile profile_id 50 add access_id auto_assign packet_content_mask offset_48-63 0x00007fff 0xffff0000 0x0 0x0 port 1-24 deny
create access_profile packet_content_mask offset_48-63 0x0 0x0000FFFF 0xFFFF0000 0x0 profile_id 60
config access_profile profile_id 60 add access_id auto_assign packet_content_mask offset_48-63 0x0 0x00007fff 0xffff0000 0x0 port 1-24 deny

Итак, сегодня протестировал на реальном компьютере с зеркального порта.
Рабочий фильтр для абонентского акцесс порта, как подсказали с учётом сдвига на 4 байта для DES-3526 и чистого IP траффика без энкапсуляции(ppoe, l2tp, pptp):
create access_profile packet_content_mask offset_48-63 0x0 0x0 0x0000FFFF 0xFFFF0000 profile_id 40
config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_48-63 0x0 0x0 0x00000038 0x00000000 port 1-24 deny

Напрочь срезает uTP пиры в торренте, это видно прямо в его окне. Искомый ключ 00:38:00:00. Другое пока не фильтровал. Возможно ещё займусь пакетами IPV6 внутри IPV4 они содержат ту же последовательность, но с гораздо большим сдвигом. Хотя там вроде и выше есть характерный ключ.

0000 00 0e d6 cf e8 1a 00 1b 38 11 34 48 08 00 45 00 ........ 8.4H..E.
0010 00 58 39 8d 00 00 80 29 8c b7 52 c7 61 06 5f 53 .X9....) ..R.a._S
0020 61 18 60 00 00 00 00 1c 11 80 20 02 52 c7 61 06 a.`..... .. .R.a.
0030 00 00 00 00 00 00 52 c7 61 06 20 02 5f 53 61 18 ......R. a. ._Sa.
0040 00 00 00 00 00 00 5f 53 61 18 63 b6 d8 a3 00 1c ......_S a.c.....
0050 77 0b 11 00 a8 23 50 0d 84 bf 00 00 00 00 00 38 w....#P. .......8
0060 00 00 91 32 04 7f ...2..

0000 00 1b 38 11 34 48 00 19 d2 29 9c 23 08 00 45 00 ..8.4H.. .).#..E.
0010 00 58 00 00 40 00 9e 29 05 56 c0 58 63 01 52 c7 .X..@..) .V.Xc.R.
0020 61 06 60 00 00 00 00 1c 11 7f 20 01 00 00 5e f5 a.`..... .. ...^.
0030 79 fb 0c 69 3a 0e a4 a5 dd f8 20 02 52 c7 61 06 y..i:... .. .R.a.
0040 00 00 00 00 00 00 52 c7 61 06 4f 8f 63 b6 00 1c ......R. a.O.c...
0050 04 4e 21 00 b9 cf f6 eb cf 18 a7 3c 1b 77 00 38 .N!..... ...<.w.8
0060 00 00 8b 13 0f aa ......

Рады слышать, что все получилось.

Эксперементально решил попробовать давить IPV6 внутри IPV4 вот таким правилом
традиционно DES-3526 чистый ip траффик с учётом 4-х байтного сдвига полей 802.1q

искомые байты 29 и 11 (ipv6 udp)
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0x0 0xff000000 profile_id 50
config access_profile profile_id 50 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000029 0x0 offset_32-47 0x0 0x0 0x0 0x11000000 port 1-24 deny


update - дополнил первый профиль правилом, учитывающим траффик торрента 2.0 7f:ff:ff:ff
и 3.0 00:38:00:00
так он теперь выглядит, в сумме с профилем выше даёт хороший результат.

create access_profile packet_content_mask offset_48-63 0x0 0x0 0x0000FFFF 0xFFFF0000 profile_id 40
config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_48-63 0x0 0x0 0x00000038 0x00000000 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign packet_content_mask offset_48-63 0x0 0x0 0x00007fff 0xffff0000 port 1-24 deny

думаю пока хватит..

DES-3200 для uTP 7f:ff:ff:ff и 00:38:00:00 чистый IP траффик без энкапсуляции, если не ошибся в подсчётах байтов в L4 области пакета:

create access_profile packet_content_mask offset1 l4 20 0xFFFF offset2 l4 22 0xFFFF profile_id 40
config access_profile profile_id 40 add access_id auto_assign packet_content offset1 0x7FFF offset2 0xFFFF port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign packet_content offset1 0x0038 offset2 0x0000 port 1-24 deny

Пока точно на отдельном компьютере не проверял но uTP пиров как срезало сразу после применения

Добрый день

хочу реанимировать тему

не работает правило на DGS3200

create cpu access_profile profile_id 4 packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 offset_48-63 0xFFFF 0xFFFFFFFF 0x0 0x0
config cpu access_profile profile_id 4 add access_id 1 packet_content offset_0-15 0x0 0x0 0x0 0x8000000 offset_48-63 0x7FFF 0xFFFF0000 0x0 0x0 port 1-10 deny
config cpu access_profile profile_id 4 add access_id 2 packet_content offset_0-15 0x0 0x0 0x0 0x8000000 offset_48-63 0x7FFF 0xFFFF0003 0x0 0x0 port 1-10 deny
config cpu access_profile profile_id 4 add access_id 3 packet_content offset_0-15 0x0 0x0 0x0 0x8000000 offset_48-63 0x0 0x38 0x0 0x0 port 1-10 deny

0x0000: c83a 35d4 c2a5 001c f68e 5123 0800 4500
0x0010: 003a 2d88 0000 7811 61b4 53dd ab88 ac10
0x0020: 0801 4855 1ae0 0026 d4d2 2102 93f5 7a0b
0x0030: c5c6 7fff ffff 0000 f000 2b8f 83c1 0008
0x0040: 0000 0000 0000 0000

0x0000: c83a 35d4 c2a5 001c f68e 5123 0800 4500
0x0010: 003a 2543 0000 7811 aed1 5436 6657 ac10
0x0020: 0801 706b 1ae0 0026 839e 2102 b3c2 0e21
0x0030: 97d1 0000 0000 0038 0000 4d11 ba10 0008
0x0040: 0000 0000 0000 0000


тагирование нет - дефолтный влан.

блокирую на Линукс сервере iptables на ура - на свиче - пропускает.

данные свича:
Firmware Version 2.21.B005
Hardware Version B1

грешу на прощифку 2.21.B005 - изначально она мне не понравилась

Господа Длинковци можете проверить для DGS3200 у себя - верные выводы мои постом выше или я ошибаюсь?
и что делать в данном случае

Пришлите, пожалуйста, сам пакетик мне в формате PCAP на почту, чтоб можно было на стенде с ним проверить.