regola iptables / pf per consentire solo l'applicazione / utente XY?

Penso che non esiste una soluzione iptables / pf che consenta solo un'applicazione XY su es: porta tcp in uscita 80, eth0. Quindi, se ho un userid: "500", allora come potrei bloccare qualsiasi altra comunicazione, quindi la menzionata sulla porta 80 / outbound / tcp / eth0? (es: solo privoxy sta usando la porta 80 su eth0)

Extra: virtualbox usa anche la porta 80? quando un browser sul sistema operativo ospite visita un sito ... come declamarlo? - l'impostazione dell'utente normale sarebbe troppo buca

ecco il iptablescomando per consentire un certo uidtramite una determinata porta.

iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner username -j ACCEPT 

dalla pagina man

[!] --uid-owner userid [-userid] Corrisponde se la struttura dei file del socket del pacchetto (se ne ha uno) è di proprietà dell'utente specificato. È inoltre possibile specificare un UID numerico o un intervallo UID.

per quanto riguarda virtualbox .. credo che esegua il proprio kernel ... quindi potresti voler usare --uid-ownervirtualbox sul sistema operativo host, ma quindi avere una --uid-ownerregola del proprietario anche sulla macchina virtuale.

Potrebbe anche essere utile notare che --gid-owneresiste anche e potresti creare un gruppo browsere sgidle app del tuo browser in modo che funzioni con un gruppo efficacebrowser e quindi inserire solo gli utenti che desideri consultare in quel gruppo ... questo non sarebbe un soluzione perfetta ... ma la maggior parte degli utenti non cercherebbe di eseguire altre app come quel gruppo, in generale limitando così l'uscita verso quell'applicazione credo. Non ho provato questo, quindi non sono al 100% che funzionerebbe come ho descritto.