и все же об ip filter.
если я начинаю создавать свой список правил ip filter
во что я должен установить ?
Security Level:High
Public Default Action: снаружи все запрещено если нет подходящего правила - Deny? Accept?
Private Default Action: изнутри все разрешено если нет подходящего првила - Deny? Accept?
DMZ Default Action: этой зоны нет - все запрещено

я попробовал следующее:
удалил все правила
Public Default Action: Deny
Private Default Action: Accept
в итоге лишился выхода в инет.

Потому что не было разрешающего правила. Ознакомьтесь с принципами ip фильтрации. Все станет понятно.

в документации сказано, что default action применяется к пакету, если не было найдено подходящее правило.
Разве отсюда не следует, что default action будет применяться ко всем пакетам?

Если правил нет, то следует. И это default action у Вас было Deny. Так что все логично.

Если нет правил, то исходящий трафик разрешён, но соединение не устанавливается т.к. запрещён входящий, но за состоянием этого соединения никто не следит?
В случае наличия правил, достаточно разрешить исходящий с контролем состояния?

Заранее спасибо за ответы.

Не понял, при чем тут вх/исх трафик?

Означает ли это, что я могу из внутренней сети открывать соединения наружу, а снаружи внутрь - нет?

Нет, не означает.

тогда какой должна быть минимальная конфигурация ip filter, в которой все исходящие соединения (outbound) из домашеней сети разрешены, а все входящие (inbound) запрещены? будем считать, что DMZ отсутствует.

Входящие соединения куда?
Если во внутреннюю сеть, так это в случае с NAT-ом само собой разумеется.
Если хочется сам роутер защитить, нужно настраивать ip фильтры.

Сорри, я не дал необходимой информации сразу.

504g работает в режиме маршрутизатора с NAT.
DMZ отсутствует.

Какой должна быть минимальная конфигурация ip filter, в которой все исходящие соединения (outbound) из домашеней сети и с рутера (DNS и прочее) разрешены, а все входящие (inbound) запрещены?
Ни к рутеру, ни к внутренней сети доступа из Internet доступа быть не должно.
За одним исключением, при обращении на 80-й порт внешнего интерфейса рутера, человек должен попадать на 80-й порт машины, находящейся в локалке за NAT-ом.

http://www.dlink.ru/kbase/ftpfiles/Products/ADSL/DSL-500G/knowlegebase/f14.pdf

Файл отсутствует. Меня тоже интересует ответ на вопрос, который задал romanivanov.

так по умолчанию и устанавливается, извне доступа на внутреннюю сеть не будет, за исключением добавленных правих переадресации портов

1. зависит от версии прошивки
2. давным-давно уже так сделал

_________________
DSL-2640U, DSM-520
DI-524 + DWL-G650+ + DWL-G520+ + DVG-2001S
было DSL-G604T, Dlink 504G