Lo que intento hacer es prohibir a ciertas IP el acceso a internet, pero que si tengan acceso a la LAN. Con lo cual uso la función del interface web siguiente:

Security
• IP Filtering
- Outbound Filters
Add IP Filter -- Outgoing
Filter Name: nosalirr
Protocol: TCP/UDP
Source IP address: 192.168.1.13
Source Subnet Mask: ¿hace falta?
Source Port (port or port:port): 1:65535
Destination IP address: ¿gateaway del router?
Destination Subnet Mask: ¿hace falta?, ¿cual sería?
Destination Port (port or port:port) 1:65535

en el manual de adslayuda aparece la configuración pero para el 9105 el cual tiene muchos menos parámetros.

He probado varias cofiguraciones pero no me funciona y siempre esa ip de la red puede tener acceso a internet, las dudas que tengo las he puesto en cada apartado, fácil de contestar ¿no?.

bueno ahora he probado solo poniendo la ip que quiero que no salga a internet (192.168.1.13) y parece que funciona. Con lo cual me quedaría así

Security
• IP Filtering
- Outbound Filters
Add IP Filter -- Outgoing
Filter Name: nosalirr
Protocol: TCP/UDP
Source IP address: 192.168.1.13
Source Subnet Mask: en blanco
Source Port (port or port:port): en blanco
Destination IP address: en blanco
Destination Subnet Mask: en blanco
Destination Port (port or port:port): en blanco

con lo cual me pregunto ¿PARA QUE SIRVEN EL RESTO DE PARÁMETROS?

Se me ocurre que quizá sean restricciones positivas. Es decir, cuando has puesto 1:65535, lo que estabas haciendo es admitir el tráfico a esos puertos (o sea, a todos).

Prueba a ponerlo en un rango raro (40000:40001, por ejemplo) a ver si bloquea.

MMmm. Probé eso (Source port: 40000:40001) y entonces si que deja entrada a interntet. Volví a probar con el puerto 80 en "Source Port" y también deja paso. (tal vez en blanco sea prohibir todo?)

Y volviendo a probar con puerto 80 pero en "Destination Port" ¡ya no le deja paso a internet!. Ya voy entendiendo como funciona. Aunque lo de las máscaras de subred lo veo más complicado. Y no se que pasará cuando se combinan varios parámetros a la vez!

Entonces es más que posible que haya que rellenar un número mínimo de casillas para que tenga efecto. Al menos una de Source y su equivalente Destination. Es cuestión de que ensayes...

Lo curioso es que cuando coloco
Source port: 80
Destination port: 80
entonces deja paso a internet (por páginas web se entiende), cuando
Source port: en blanco
Destination port: 80
no deja paso (por ftp lógicamente deja paso)

Todo esto siempre dejando libre circulación en la LAN, ó WLAN. Y probando:
Source port: 389
Destination port: en blanco
entonces no deja paso de cualquier ordenador a la ip prohibida (Source IP) pero sí de la ip prohibida a cualquier ordenador (mediante carpetas compartidas se entiende).
SEGUIRÉ probando combinaciones, aunque hay muchas y aún no he probado con "destination IP" y submáscaras las cuales dejo en blanco. Bueno mentira algo probé con las submáscaras y parece que hace prohibiciones al resto de ordenadores.

Bien ya entiendo como funciona el tema del "Source port" y "destination port". Supongo que todo viene porque soy relativamente novato.

El caso es que cuando nuestra máquina se conecta por ejemplo via web a internet. Teniendo en cuenta que web usa el puerto 80, nos induciría a pensar que los puertos que se abren son los 80, pero esto solo es cierto para la dirección de destino, en nuestro ordenador puede abrirse cualquiera que windows encuentre disponible (lo visualicé mediante el comando "netstat -ano"). Por tanto el cerrar ciertos puertos en nuestra máquina "Source Port" no garantiza que se usen otros para conectar al puerto 80 en la máquina de destino (en internet).

En "Outbond filters" dejar en blanco los puertos de Source y destination equivale a escribir 1:65535 (todos), por tanto si solo pongo puerto 80 en "destination port" no se puede conectar a web de ninguna forma, pero si coloco admás en "source port" cualquier puerto estamos prohibiendo ese puerto mientras que quedan libres el resto para conectarse al puerto 80.

En fin el tema de puertos ya lo comprendo pero el de máscaras de subred ya es más chungo.

¿ALGÚN TUTORIAL DE MÁSCARAS DE SUBRED?

No necesitas hacer uso de las máscaras en Internet.

Pues tal vez me hiciese falta lo de las máscaras de subred. Bueno, en realidad todo esta preocupación viene porque estoy tratando de montar una red inalámbrica semiabierta (ahora que no vengan con que para eso hay otros foros porque el usr9106 no dispone de iguales funciones que el resto de routers).
Bien, me explico lo que quiero es tener en el lugar donde vivo una red la cual cualquiera pueda entrar en ella y que vea las carpetas compartidas, tal vez para futuros trueques. Pero únicamente eso y no que se entre exclusivamente para chupar de internet (tal vez cierto tráfico controlado pueda ser interesante). En fin que no soy como la mayoría de gente obsesionada con cerrar su red a cal y canto (para eso desenchufen sus ordenadores es mi filosofía), porque precisamente eso es lo que les gusta a las compañías de teléfonía.

La red celular wifi podría ser una realidad, y con los nuevos móviles (wifi) con llamada por ip podrían ser una revolución (a tomarporculo las compañías de teléfono). Aunque yo no INTENTO llegar a ese extremo.

Pero eso sí no quiero cerrar puertas que sería lo fácil, una herramienta poderosa sería eso de poder decir esto pasa y esto no. Y ESTE ROUTER DISPONE DE ESA FUNCIÓN LA CUAL NO VIENE DETALLADA EN EL MANUAL (OUTBOUND FILTERS) Y SERÍA MUY, MUY INTERNESANTE EL CONOCER COMO FUNCIONAN TODAS SUS CARACTERÍSTICAS (creo que TIENEN bastante potencial), TAL VEZ ENTRE VARIOS PUDIÉRAMOS SACARLE LAS TRIPAS A ESTA FUNCIÓN

Perdón por ser un poco plasta, pero a veces es necesario explicar las ideas de uno además de sus dudas, gracias por escucharme.

Se puede hacer. Lo que no pone muy claro en el manual del 9106 es si existe preferencia de reglas: es decir, si se crean varias, la que están encima tienen preferencia sobre las situadas debajo.

De ser así, sería sencillo otorgar a tu PC una IP privada y crear una regla para permitirle el acceso a Internet. Y debajo de ella, crear otra regla que bloquee todo el acceso a Internet. De esta manera, todo el que se conectara por Wi-Fi a tu red sólo podría curiosear en tus carpetas compartidas.

Por cierto, supongo que serás consciente de las vulnerabilidades que tiene la Red de Windows y del riesgo que supone admitir en tu red local a desconocidos.

Soy consciente, pero "confío" en la buena voluntad, y no creo que sea menos tonto el dejar acceso que el que accede para pintar el idiota. Y para eso dispongo de mis métodos: máquinas virtuales aisladas (si alguien quiere perder el tiempo echando abajo mi sistema operativo, pues adelante porque la restauración de las máquinas virtuales se hace en cuestión de minutos).