La forma más efectiva de evitar que un nodo (una estación de trabajo) tenga acceso a Internet es detenerlo en la puerta de enlace.
¿Por qué?
Cualquier otro administrador puede deshacer lo que puedes hacer como administrador. Sin embargo, si bloquea el acceso a Internet en el nivel de la red, un administrador de un solo nodo (por ejemplo, su MacBook) no puede ignorar esa restricción (a menos que, por supuesto, les otorgue acceso de administrador a la puerta de enlace).
Dicho esto, una forma muy efectiva de bloquear el acceso a Internet es enrutar el tráfico de Internet (predeterminado) al localhost (127.0.0.1).
$ sudo route delete default
$ sudo route add default 127.0.0.1
Aunque no es infalible, puede disuadir a un administrador determinado de descubrir qué está causando el bloqueo porque la red parece estar operativa, ya que la red interna sigue funcionando. En otras palabras, el usuario no puede navegar por Internet, pero puede conectarse a recursos compartidos locales o usar una impresora de red.
La advertencia aquí es que para sortear el bloqueo, reinicia o simplemente reinicia el servicio de red. Sin embargo, puede tener un LaunchDaemon que se ejecuta cada minuto para garantizar que esta configuración sea persistente.
Con esta configuración, se engaña al usuario para que crea que hay un problema con la red y no con su máquina. Porque incluso si reinician el servicio de red, como máximo se ejecutará durante un minuto, luego se detendrá. Si se presentaran estos síntomas a las personas que están aquí en AD, las respuestas iniciales serán mirar el gatway.
No es que cierres la puerta con llave, es la percepción de que la puerta está cerrada.