Como eu isolaria apenas um PC em rede para LAN?

O uso do roteador deve impedir que qualquer pacote chegue ao computador. Contanto que você não tenha uma configuração DMZ ou qualquer regra de encaminhamento de porta para o computador, você deve estar protegido contra tráfego de entrada.

Para o tráfego de saída, você pode configurar o seu PC não conectado à Internet para ter um endereço IP estático na sua rede. Na sua configuração de IP estático, deixe o campo de gateway padrão em branco. Isso impedirá que este computador envie seu tráfego vinculado à Internet para o roteador e qualquer tentativa deve retornar com um erro sem rota para hospedar, no entanto, a máquina ainda deve estar pronta para falar com os outros computadores na LAN.

Nota: Esta não é uma implementação completamente segura. Não há firewall impedindo que os pacotes de saída cheguem à Internet, portanto, em teoria, um pacote especialmente criado ainda pode chegar à Internet a partir dessa máquina, mas para a maioria dos casos isso deve funcionar.

Isso é um pouco inútil. Se qualquer uma das máquinas na rede tiver a capacidade de receber conexões, você deve assumir que todas elas podem, desde que seja possível configurar um encaminhador na máquina que possa ser acessado da Internet.

Dito isto, o controle de acesso à Internet é uma função do roteador. No meu roteador está sob restrições de acesso | Acesso à Internet, mas isso varia.

Outra opção é usar o software de controle dos pais (por exemplo, NetNanny) no PC restrito. Se for um Mac, então ele possui controles dos pais integrados nas configurações de administração do usuário.