Основных недостатков два: первый состоит в том, что с компьютеров вашего локального сегмента невозможно получить доступ к узлам с адресами 8.8.8.0/24 - они будут интерпретированы как адреса локальной сети. Обычно это не представляет особой проблемы, но в Вашем случае в эту подсеть попадает популярный публичный DNS Google - 8.8.8.8.
Второй, обычно более существенный недостаток состоит в том, что в случае определенных ошибок в настройках NAT, маршрутизации, туннелей и т.д. в интернет попадает реальный IP интерфейса. Если он принадлежит приватному адресному пространству, это не вызывает никаких проблем - он просто не пройдет дальше одного из нескольких первых переходов. А вот IP из публичного диапазона либо будет перехвачен брандмауэром провайдера, который расценит это как сетевую атаку, либо, если провайдер не провеяет исходящие ip, дойдет до адреса назначения, после чего этот адрес начнет слать пакеты в адрес узла, который имеет реальный IP совпадающий с вашим локальным.
Что, естественно, тоже будет расценено как сетевая атака.
Резюме: основной недостаток использования публичного IP в качестве адреса локального интерфейса сети состоит в том, что это создает не только потенциальную опасность утечки внутренних пакетов в сеть, но также возможность принятия ответных мер по отношению к предполагаемому сетевому хулигану.
Теперь по поводу Вашего вопроса:
Открываете web-интерфейс маршрутизатора, выбираете в разделе "межсетевой экран" вкладку "IP-фильтры" и дальше делаете одно из двух:
1. Если Вы хотите закрыть доступ в интернет определенным компьютерам, а всем остальным доступ разрешить, укажите адреса блокируемых компьютеров в поле "Диапазон IP-адресов; Источник" и выберите для них "Действие" DROP.
Создавайте столько правил, сколько потебуется для того, чтобы в них попали все блокируемые адреса
2. Предыдущий способ имеет существенный недостаток - злоумышленнику достаточно изменить IP чтобы получить доступ в интернет. Поэтому удобнее пойти по прямо противоположному пути - запретить доступ всем, кроме заданных IP.
Для этого делаете всё то же самое, что и в предыдущем пункте, но вместо "Действие" DROP указываете "Действие" ACCEPT.
После того как Вы добавили правила для всех компьютеров, доступ которым разрешен, добавляете в конец спика еще одно правило - для компьютеров подсети 0.0.0.0/0 выбрать "Действие" DROP.
(я не могу гарантировать, что маршрутизатор поймет такой синтаксис, поскольку нигде не указан список допустимой разрядности подсетей для интерфейса данного маршрутизатора. Но, раз у него отсутствует способ задания политики по умолчанию, очевидно должен быть альтернативный способ получить тот же самый результат)
Выше я описал способ блокировать доступ в интернет по IP. Хотя надежнее делать это по MAC-адресу. Преимуществом использования MAC-адреса является практическая невозможность его подмены - если правила разрешают доступ для компьютера с заданным MAC-адресом и этот компьютер в данный момент работает, способа проникнуть в сеть у злоумышленника уже не остается. Он не сможет установить себе MAC работающего компьютера, потому что если он это сделает, в лучшем случае, его сетевое соединение перестанет работать (потому что ethernet-коммутатор уже кэшировал номер порта, которому соответствует указанный MAC), в худшем грохнется разом весь сегмент, поскольку в одном сегменте не может быть двух интерфейсов с одинаковым MAC (чтобы меня не поправляли, заранее оговорюсь, что не имею в виду агрегацию каналов ethernet с использованием протокола 802.3ad).
Чтобы разрешить или блокировать доступ по MAC, а не по IP, выберите закладку "MAC-фиьтр" в том же меню "Межсетевой экран".
P.S. Попробуйте использовать другой браузер и проверьте, что он не блокирует сценарии javascript.
