Linux上の特定のプログラムへのインターネットアクセスをブロックする方法

最近、インターネットアクセスを特定のプログラムに制限する問題に遭遇しました。特定のソフトウェアを使用せずに、誰かがそれを行う良い方法をお勧めできますか？

私にとっての解決策はたまたま簡単でした。

1. 新しいグループを作成、検証します。このグループに必要なユーザーを追加します。
   • 作成： groupadd no-internet
   • 検証： grep no-internet /etc/group
   • ユーザーの追加：useradd -g no-internet username
     
     注：既存のユーザーを変更する場合は、次を実行する必要があります：usermod -a -G no-internet userName check with：sudo groups userName
     
     
2. パスにスクリプトを作成し、実行可能にします。
   • 作成： nano /home/username/.local/bin/no-internet
   • 実行可能ファイル： chmod 755 /home/username/.local/bin/no-internet
   • コンテンツ： #!/bin/bash
              sg no-internet "$@"
     
     
3. グループno-internetのネットワークアクティビティを削除するためのiptablesルールを追加します。
   • iptables -I OUTPUT 1 -m owner --gid-owner no-internet -j DROP
     
     注：変更を永続的にすることを忘れないでください。再起動後に自動的に適用されます。それを行うかどうかは、Linuxディストリビューションによって異なります。

   4.以下を実行して、Firefoxなどで確認します。

• no-internet "firefox"

例外を作成し、プログラムがローカルネットワークにアクセスできるようにする場合：

• iptables -A OUTPUT -m owner --gid-owner no-internet -d 192.168.1.0/24 -j ACCEPT
• iptables -A OUTPUT -m owner --gid-owner no-internet -d 127.0.0.0/8 -j ACCEPT
• iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP

注：スポーンの場合、ルールは維持されます。たとえば、インターネットルールなしでプログラムを実行し、そのプログラムがブラウザウィンドウを開く場合でも、ルールが適用されます。