内网电脑不想它访问互联网，却又需在需要时能被桌面控制，有没有什么简易方法？

这种公司里直接 openwrt 网关安装 softether ，vpn 到内网就可以远程桌面 lan 内的服务器。

Vpn ，几台电脑只设置 ip 不设置网关

再找一台机作为跳板呗，套娃远程

外部访问用 VPN 接入公司内网，防火墙关于这几台电脑的外网访问权限即可。或者用 jumpserver 堡垒机，堡垒机放行外网访问，防火墙配置端口映射，没有固定公网 IP ，再配置下 ddns ，绑定域名到出接口。

试试看这样……

手动设置 ip 地址 192.168.1.A 和掩码，
但是不设置网关和 DNS…
这些服务器就不能主动连接外网了，

然后，
路由器做个 转发＋源地址修改，
凡是发往 WAN:12345 的包，
转发给 192.168.1.A:12345 ，
并将其源地址改为路由器 LAN 地址，

凡是来自于 192.168.1.A 的包，
将其源地址改为 WAN 口地址发送出去…

这样就解决了单向响应从外部发起的连接请求

其实最简单是在路由器防火墙 FORWARD 链上插入一条规则

drop 掉来自 192.168.1.A 的 状态为 NEW 的数据包，但是其他状态（从外部发起的连接及其随后的数据）的则放行

然后路由器做端口映射到 A 服务器就行了。

改注册表,把更新服务器指向一个不存在的域名,就[不可能]更新了

需要更新的时候,再把注册表条目删除

以上俩步都可以写入批处理,实现一键禁用 /启用更新

以上操作无毒无副作用,所有 WIN10 以上版本可用

`https://zhuanlan.zhihu.com/p/352191776`

内网找一台机子做跳板机，然后在禁止要被桌面控制的机器访问互联网。

PVE 下实现过，忘了是网关还是 DNS 指向内网不存在的 IP 就行了，这台设备无法联网单内网可以互访，这时用一个可以连外网的内网转发或者远程桌面套娃就行了

买个 IP KVM

openwrt socat 转发一下端口就行。适合内网电脑网关，DNS 都不配置的情况

frp 内网穿透，可以远程连接到内网主机

组策略设置更新的地址为 localhost ，并且禁止使用 windows 的地址，可以永久禁用更新

你需要一个向日葵 A2
https://sunlogin.oray.com/hardware/kongkong2/

wireguard

多谢大家，由于忙没有及时回复。最后综合大家的意见，用了最简单的方法。

内网机器用了 @qishouvip2022 的方法：
手动设置 ip 地址 192.168.1.A 和掩码，
但是不设置网关和 DNS…

由于不想动路由，所以用了跳板机。
跳板机器我用了 google 的 remote desktop 。