Модем маршрутизатором. Инет на 4 компа раздается. Можно ли настроить таким образом, чтобы при необходимости один из четырех ЛАН портов не имел доступа в инет, а видел лишь локалку?

Здесь разве что можно применить фильтрацию по IP-адресам.
Физический порт изолировать от WAN не получится.
(вариант с функцией Port Mapping не решит поставленную задачу: изолирование порта в отдельную группу приведет к потере связи с компьютерами, подключенными к другим LAN портам).

то что изолировать от инета нельзя я уже вроде и сам понял. Получается только совсем изолировать один ЛАН от других. Но это сродни выдернуть шнур из разъема. А по IP фильтрации подскажите подробнее. Как мне запретить отправку запроса с локального IP допустим 192.168.1.4 на внешний адрес 85.172.0.7 Сам пробовал создать правило, но оно не работает и запросы проходят

Да, еще, файрвол при этом должен быть включен? У меня сейчас он выключен

Заходим телнетом и пишем:
iptables -A FORWARD -s 192.168.1.2 -j ACCEPT //то что разрешено
iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0.0.0.0/0 -j DROP //то что блокируем.

Файрвол надо включить, работает это до первой перезагрузки модема.

В телнете необходимости нет, т.к. всё должно нормально работать после настройки через веб-интерфейс.
Замечания:
1. Уточните какая у Вас модель роутера: DSL-2540U, DSL-2540U/BRU/D или DSL-2540U/BRU/C.
2. Обновите прошивку роутера до последней версии.

Литература по теме здесь:
Примеры использования функций Outbound Filter, Inbound Filter в ADSL-устройствах U-серии
http://dlink.ru/ru/faq/11/141.html
Примеры использования функций Outbound Filter, Inbound Filter на DSL-2xxxU/BRU/C
http://dlink.ru/ru/faq/11/137.html

Если Вы хотите блокировать клиентов во внешнюю сеть, то в Destination не нужно указывать адрес WAN-интерфейса. Адресом назначения будут являться все адреса (см. примеры)

Для Вашего случая правило должно быть таким:
Filter Name: myrule
Protocol: ALL
Source IP address: 192.168.1.4
Source Port Type: пусто (со всех портов)
Destination IP address: пусто (все адреса)
Destination Subnet Mask (or end ip address): пусто
Destination Port: пусто (на все порты)

Firewall на WAN-интерфейсе при этом должен быть обязательно включен.

У меня обычный 2540U. Спасибо за ссылки на примеры. Понял теперь как правильно делать. Оказывается надо было просто включить файрвол. Еще раз спасибо за помощь