Indem man dem Rechner einfach keine globale Unicast-IPv4-Adresse gibt. Oder noch extremer: Gar keine IPv4-Adresse.
Oder und meist sinnvoller: Man sperrt alles, wohin es keine dedizierten Wege gibt:
ip route add prohibit defaultLetzteres hat den Vorteil, dass man IPv4-Verkehr in genau beschränkten Umfang doch zulassen kann, z.B. mit scope host oder scope link oder in sichere Adressbereiche.
OK, aber einfacher als eine einzige iptables-Regel, die im Lan nur den v4-Traffic zum Router (default gateway für den Internetzugang, DNS-lokal, NTP-lokal) ermöglicht, ist das m. E. nicht. Für IPv6 kann man auch eine ip6tables-Regel benutzen.