Lo que yo haria seria permitir el tráfico del puerto 80 ( http ), 443 (https ) , 25 ( smtp ), y 110 ( pop3) hacia fuera de la intranet y el trafico icmp y udp para el dns. Y todo lo demás caparlo . En un router Cisco seria

router> enable
router# config t
router(config)# ip access-list extended regla_red_local1
router(config-ext-nacl)# permit icmp any any
!!! permito el trafico icmp = ping , tracert
router(config-ext-nacl)# permit 192.168.1.0 0.0.0.255 eq wwww
!!! permito a la red local 192.168.1.0/24 el trafico web
router(config-ext-nacl)# permit 192.168.1.0 0.0.0.255 eq 25
!!! idem smtp
router(config-ext-nacl)# permit 192.168.1.0 0.0.0.255 eq 110
!!! idem pop3
router(config-ext-nacl)# permit udp 192.168.1.0 0.0.0.255 eq domain
!!! permito trafico udp de resolucion dns
!!! deny any any va implicito en la última linea
router(config-ext-nacl)# exit
!!!nos vamos al interface fa 0/0
router(config)# interface fa 0/0
!!! aplicamos la acl en sentido entrante de la interface
router(config-if)# ip access-group regla_red_local1 in
router(config-if)# end
!!! salvamos la configuración
router# copy ru st

Puede que tenga algún fallo , ya que la he hecho de memoria y deprisa
De todas formas , prueba primero , ya que las acl al principio no son sencillas y es facil liarse.
Practica y suerte