Dovrai usare iptables. Supponiamo che il tuo router sia 192.168.1.1, i tuoi client normali siano 192.168.1.2-4 e quello che vuoi isolare sia 192.168.1.100. Quindi faranno le seguenti regole:
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.2 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.3 -j DROP
iptables -A FORWARD -s 192.168.1.100 -d 192.168.1.4 -j DROP
In linea di principio questo dovrebbe essere sufficiente. Ma se la persona che utilizza 192.168.1.100 ha accesso (anche fisico!) Ad altre macchine, potrebbe avere senso impedire l'istituzione di tunnel inversi, nel qual caso aggiungerei queste regole:
iptables -A FORWARD -s 192.168.1.2 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.3 -d 192.168.1.100 -j DROP
iptables -A FORWARD -s 192.168.1.4 -d 192.168.1.100 -j DROP
Esistono due condizioni affinché ciò funzioni: in primo luogo, è essenziale che le comunicazioni attraverso 192.168.1.100 passino attraverso il router. In altre parole, è necessario collegare 192.168.1.100 al router, non a uno switch. Se lo si collega a uno switch, poiché si tratta di traffico interno, lo switch sarà in grado di inoltrare i tentativi di comunicazione da 192.168.1.100 agli altri PC collegati allo switch senza passare attraverso il router, cioè direttamente e i comandi sopra non verrà mai applicato. In secondo luogo, i pc devono avere sempre gli stessi indirizzi IP; puoi farlo sia con IP statici, sia con IP riservati, una funzione impostata nella GUI del router.
MODIFICARE:
Secondo Wikipedia ,
Nella rete di computer, una singola rete di livello 2 può essere partizionata per creare più domini di trasmissione distinti, che sono reciprocamente isolati in modo che i pacchetti possano passare solo tra di loro tramite uno o più router; tale dominio viene definito rete locale virtuale, LAN virtuale o VLAN.
Una situazione in cui "i pacchetti possono passare solo attraverso uno o più router" è esattamente quella che ho appena descritto. L'unica differenza è che 192.168.1.100 sarebbe in grado di intercettare il traffico di trasmissione. Qui non mi serve molto, ma posso ancora modificare le regole di iptables in modo tale da ottenere quell'effetto, se lo desideri. Altrimenti, la soluzione che ho descritto sopra è identica a quella a cui ti riferisci nel tuo commento.