WINDA​
У нормальных клиентов которые поставляются вместе с услугой ВПН, есть функция killswitch, тобишь при потери конекта с сервером траф полностью блокируется.
Но есть клиенты без этой фичи либо она работает криво.
Если нет такой фичи, то не беда, делаем подобное сами без стронних мутных утилит.
Запилим батник с командами:
Код:route delete 0.0.0.0 mask 0.0.0.0

route delete 0.0.0.0 mask 128.0.0.0

route add 111.222.111.222 mask 255.255.255.255

route add 0.0.0.0 mask 0.0.0.0 1.2.3.4
После подключения к ВПН чекаем его IP и втыкаем вместо 111.222.111.222
Далее наводим на подключенный "законнокченный" значок ВПН в правом нижнем углу. Нас интересует только последняя строка:
пример: назначенный IP: 192.168.7.5 Этот IP нам назначил сервис ВПН при подключении.

Далее запускаем cmd и вбиваем команду: route print (смотрим таблицу маршрутизации)
нас интересует таблица интерфейс (в нем ищем назначенный нам ВПНом ip адрес) и смотрим левее от него адрес шлюза обычно он бывает на единицу меньше, но на всякий случай и проверяем в этой таблице в нашем случае это 192.168.7.5 берем и вписываем в наш батник вместо 1.2.3.4
Теперь сохраняем файл и запускаем его от имени администратора (без админ прав не пропишется в таблицу).

Все теперь весь трафик идет строго через ВПН и в случае падения ВПНа весь трафик блокируется полностью. Проверить можете очень просто, после всех манипуляций опять в cmd вводите команду ping  Для просмотра контента необходимо: Войти или зарегистрироваться  -t пойдут постоянные пинги до гугла. Теперь просто разорвите соединение с ВПН и все пинги и прочее пропадут.

Да и еще важный момент, все настройки в этой таблице роутинга сохраняются до перезагрузки вашего сетевого интерфейса, через который вы получаете интернет (кабель, вай фай, 3джи и тд). Тобишь разорвалось соединение с впн трафик закончился, вышли отовсюду что может вас спалить (виртуалки, месенджеры и прочее) перезапустили 3джи или вай фай в "Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом" и заново подключаетесь к впну и с первого пункта.

Стоит один раз сделать такой батник и просто всегда при подключении проверяйте шлюз, который вам присвоил ВПН сервис, далее вставляете его в BAT файл и запускаете от имени администратора.
По этому принципу и работает killswitch у клиентов от ВПН.

В заключении советую глянуть альтернативный вариант по средствам штатного файрвола в другой статье:
Блокируем утечку трафика на винде при разрыве соединения с VPN - Codeby.net - Информационная Безопасность

DEBIAN​
Пример блокировки трфа на моем любимом Debian
Прeдcтaвимcя cиcтeмe cупeрпользовaтeлeм