O uso do roteador deve impedir que qualquer pacote chegue ao computador. Contanto que você não tenha uma configuração DMZ ou qualquer regra de encaminhamento de porta para o computador, você deve estar protegido contra tráfego de entrada.
Para o tráfego de saída, você pode configurar o seu PC não conectado à Internet para ter um endereço IP estático na sua rede. Na sua configuração de IP estático, deixe o campo de gateway padrão em branco. Isso impedirá que este computador envie seu tráfego vinculado à Internet para o roteador e qualquer tentativa deve retornar com um erro sem rota para hospedar, no entanto, a máquina ainda deve estar pronta para falar com os outros computadores na LAN.
Nota: Esta não é uma implementação completamente segura. Não há firewall impedindo que os pacotes de saída cheguem à Internet, portanto, em teoria, um pacote especialmente criado ainda pode chegar à Internet a partir dessa máquina, mas para a maioria dos casos isso deve funcionar.