Restringir a máquina XP apenas à LAN

Algumas maneiras de fazer isso, dependendo da sua configuração e roteador.

1. Você pode fazer isso no gateway/roteador bloqueando o endereço IP da máquina XP (supondo que seja estático) ou até mesmo o endereço MAC. Especificamente, você estaria bloqueando o tráfego de saída vindo da máquina XP.

2. Você também pode criar rotas de estado na máquina XP forçando qualquer tráfego vinculado à Internet a ir a lugar nenhum ou a um gateway ruim.

3. Por fim, você pode colocar a máquina XP atrás de outro roteador e colocá-la em uma sub-rede diferente. Dessa forma, você definitivamente controla esse segundo roteador e pode rotear apenas o tráfego da LAN para a outra sub-rede e bloquear todos os outros tráfegos.

Como você está pedindo a melhor maneira:

1. Se estiver usando DHCP para atribuir IPs. Configure seu servidor DHCP para "reservar" (ou seja, torná-lo permanente) IP para essa máquina.
2. Configure seu roteador que se conecta à Internet para impedir o acesso de LAN para WAN (Internet) para este IP específico. Isso bloqueará efetivamente o acesso à Internet para esse host para que ele não possa se conectar completamente à Internet.

Esta é a única maneira "boa" se você não confiar nesta máquina ou em seu usuário com direitos de administrador. Outras maneiras sugeridas aqui, como remover o gateway padrão (rota), também funcionarão. Mas pode ser "revertido" por alguém que tenha acesso de administrador a essa máquina ou até mesmo algum software malicioso em execução nesse host.