1
Ja tam sobie sam opracowałem podobny mechanizm. Domyślnie mam zablokowany cały ruch wychodzący z hosta. Jeśli appki się próbują komunikować z siecią, to widzę je w logu systemowym na konsoli. Zwykle wiem jaka appka chce się łączyć z siecią ale czasami nie jest to oczywiste i trzeba jechać na audit. Appki mają osobne grupy w cgroups. Każdy proces, który chce się komunikować z siecią musi zostać przypisany do jakiejś groupy oraz trzeba mu nadać numerek na jego pakiety. Później na FW ruch poszczególnych appek jest rozróżniany po tym numerku i można decydować czy przepuszczać czy blokować. Całość wygląda tak (to tylko jeden element mojego FW dla appek użytkownika).