实验室想要实现让一台机器只能访问内网不能访问公网，应该用什么技术实现？

在最出口的路由器上
route add 这台机器的 IP reject
就行了

方案一 通过主机配置如设置防火墙或改 dhcp 之类的，缺点是用户可以自己修改或者不给 root 权限让用户改不了
方案二 在路由器中设置某些允许的 mac 地址可以上网
方案三 不知道你啥层的路由器，是不是可以把某个网段配置成不能上网外网，只能内网互联
不是专门搞网络的也不知道上面三个方案是否可行，只是感觉可行

单独一个路由器搞一个独立网段，路由器上只配置访问其他内网网段的路由。
为了安全性，可以考虑再加一个堡垒机。只有通过堡垒机才能访问你这台机器。

一般路由器都有”防火墙”的类似配置选项，黑名单加强对应的 ip 或者 mac 地址。

内网只有一个子网的话像楼上说的不写网关也可以。多个子网再手写路由。

看具体情况。
如果你的内网指的是校园网，那就在运算机配置好路由和本机防火墙的前提下，针对要运行的软件新建专门的用户，通过严格的权限控制阻止运算机网络底层和防火墙配置被更改。
如果是自己组内网，那方法就多了，可以通过控制所有节点路由+权限管理的方式来控制，或者通过网关 ACL 等，不一一列举。

AC 或者 AF 上配一下规则 针对 mac 或固定 ip

如果是研究所用的话，就只允许它连接内网的 2-3 台机器呗。或者重新模拟一个内网环境，单独给这个实验项目所使用不就可以了吗？

内网能访问+内网其他机器能访问外网=一个跳板就能访问，没有任何意义。

如果要在路由上操作，openwrt 基础操作了，防火墙 ban 掉即可

我在自己家路由器上弄过这个（目的是阻止破解的 ps4 联网。。)，就是几条 iptables 规则：

ipset create blnet hash:net
ipset create macblnet hash:mac

iptables -t mangle -I PREROUTING -m set --match-set blnet src ! -d 192.168.0.0/16 -j DROP
iptables -t mangle -A PREROUTING -m set --match-set macblnet src,src ! -d 192.168.0.0/16 -j DROP

其中 192.168.0.0/16 是你的局域网网段。

然后把想要禁止联网机器的 IP 地址或 MAC 地址加到 blnet / macblnet 的 ipset 里即可，例如：

ipset add blnet 192.168.1.100
ipset add macblnet 00:11:22:33:44:55

但是这种方式只建议用于自己控制的设备。如果要做到网络安全意义上的隔离，需要用 vlan 之类的。

物理隔离

消费级的路由器一般都有 Mac 地址过滤，加入到黑名单就好了。

消费级的路由器也是有黑名单的直接黑名单那台设备就行了

做好基本防护就好，代理防不住，不如从管理方面着手。
机器单独放在一个小房间内，安装门禁，进入房间需要申请，定期审计进入记录，一个近景摄像头，拍摄键盘屏幕和鼠标，一个全景摄像头拍摄全屋，进入房间前需要确认摄像头工作正常，操作时必须双人确认，操作前后填写台账后并签字。对于漏填错填篡改有意污损台账，伪造签名，规避摄像头者进行处分，必要时追究双人刑事责任。

最有效的办法还是内网和外网进行物理隔离

受限于保密协议，要不然想让大家看看我现在这个公司的规定，安全部的那些人几乎把各种人能想到的漏洞都堵上了，搞骚操作，不可能的，除非你能把高层拉下水。
可以参考一下这个
http://www.pbc.gov.cn/kejisi/146812/146814/2899523/index.html

考虑合法用户的合规操作，如上面所说只需要修改路由表或 iptable 规则即可。
如果要防止违规操作，比如修改路由，代理上网等。需要详细且安全的使用规则和操作审查，以及专门网络安全人员的定时巡检排查，再加上对网络流量的审计与机器资源的监控

个人理解：要想绝对安全，内外网隔离；如果只是让不能上外网，出口路由器换成防火墙，写策略即可。不知道你说的“运算机与内网各节点可以顺利互相访问”是否一般就是指访问共享文件夹、打印机、数据库，如果是这样的话，也可以在防火墙上写策略，让局域网内电脑之间互访只限于特定端口。

正经的做法是在路由器上开 mac addr 白名单。

都是菜鸡的话，把网关和 dns 都改成错的就行了

@wangyu17455 #3 是 if-pre-up 吧？没有 if-post-up 。