Ah!
Dafür müssen wir uns einmal das OSI-Modell anschauen:
https://de.wikipedia.org/wiki/OSI-Modell In einem Netzwerk wird jeder Layer von "unten" (Layer 1) nach "oben" (Layer 7) durchlaufen. Dabei kann kein Layer ausgelassen werden, jeder Layer "beinhaltet" quasi die vorherigen Layer. Allerdings muss man nicht immer bis ganz oben.
Vereinfacht:
Layer 1 ist das Übertragungsmedium, also z.B. das Kabel oder WLAN.
Layer 2 sind die Ethernet-Datenpakete (quasi alles auf Ebene von MAC-Adressen), die danach auf Layer 1 übertragen werden.
Layer 3 sind Pakete mit IP-Adressen als Ziel, also IP-Pakete oder ICMP ("Ping"). Diese Pakete werden in Ethernet-Pakete in Layer 2 verpackt.
Layer 4 sind die Übertragungsarten/-protokolle, z.B. TCP, UDP, hier werden dann die Ports benutzt. Diese Pakete werden IP-Pakete in Layer 3 verpackt.
Layer 5-7: Details führen hier zu weit, aber hier werden dann die "eigentlichen" Daten ausgetauscht und Protokolle wie HTTP dafür genutzt. Pakete werden mit Protokollen aus Layer 4 übermittelt.
Netzwerk-Hubs aus 10Mbit-Zeiten sind Layer 1, Switches sind auf Layer 2 (decken also 1 und 2 ab). Managebares Switches sind in der Regel auch nur Layer 2, einzelne Fähigkeiten kommen aber auch schon mal aus Layer 3. Router sind genau genommen auf Layer 3, wobei viele Router eine Firewall (inkl. NAT) beinhalten, welche dann auf Layer 4 arbeitet, der "reine" Router wäre aber Layer 3.
Was du möchtest, ist das Sperren von Ports. Das liegt im OSI-Modell auf Layer 4. Ein Layer-3-Gerät (Router) kennt also Ports noch gar nicht. Ein Layer-2-Gerät (managebares Switch) erst Recht nicht. Was du brauchst ist also eine Firewall, die auf Layer 4 arbeiten kann. Es gibt Firewalls auf fast allen Layern, aber die meisten Firewalls arbeiten auf Layer 3 und 4. Erst die "weiß" überhaupt, was Ports sind und kann diese entsprechend behandeln.