如果沒有防火牆的話 ，我覺的最簡單方式，如果只是要達到不能上INTERNET，但是內網主機以通
一、如果只有一台，手動改掉使用者的TCP/IP，改GATEAY設成錯的GATEWAY，並確認user的權限不能再去改到tcp/ip，例如為一般user

二、如果數量多，可以在dhcp server上設一段新的子網, 並給予錯的g/w（註：此子網和原先用的不同， 比如原本是192.168.1.0 /248，再加一個是192.168.2.0/248）
然後再到dhcp server 的保留區中把要加入的電腦卡後加進來，這樣使用者每次開機也會分到錯誤g/w

修改route table

設定防火牆,對不能上網的電腦鎖住 Port 80/443

防火牆設policy~

如果ERP的伺服器與CLIENT端之間不在同一網段，那調整G/W這方式就不可行。
1.如果公司對外有防火牆的話，建議還是使用防火牆來做POLICY的阻擋。
2.如果沒有任何FIREWALL設備的話，那還有一個較麻煩的方式，在CLINET端的電腦手動增加靜態路由，將DEFAULT ROUTER指向錯誤的IP，而要到ERP主機的就指向G/W。

分公司跟總公司只有VPN連線 還是說 除了VPN之外 還有其他的對外管道
通常VPN G/W是一個 所以你應該是指向到VPN G/W 讓他可以連回總公司
但是 在總公司的防火牆設定規則 直接擋住不讓特定IP出去
這個或者說 你設定白名單可以出去的有那些 這樣也可以

不然 就是在L3切VLAN把可以出去的跟不可以出去的切開
分開做處理。****

了解 tcp/ip 協定原理
就會有很多方法可以解決！

建議你把你目前所使用的設備以及環境跟大家說明一下
這樣比較快吧