XYアプリケーション/ユーザーのみを許可するiptables / pfルール？

たとえば、送信TCPポート80、eth0などのXYアプリケーションのみを許可するiptables / pfソリューションはないと思います。したがって、ユーザーIDが「500」の場合、他の通信をどのようにブロックできますか？次に、ポート80 / outbound / tcp / eth0で言及されている通信をブロックできますか？（例：privoxyがeth0でポート80を使用している）

追加：virtualboxもポート80を使用していますか？ゲストOSのブラウザーがサイトにアクセスしたとき。-通常のユーザーを設定すると、穴が多すぎます

これは、特定のポートを介して特定iptablesを許可するコマンドuidです。

iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner username -j ACCEPT 

マニュアルページから

[！] --uid-owner userid [-userid]パケットソケットのファイル構造（ファイル構造がある場合）が特定のユーザーによって所有されている場合に一致します。数値のUIDまたはUIDの範囲を指定することもできます。

virtualboxまで..私はそれがそれ自身のカーネルを実行していると信じています... --uid-ownerホストOSでvirtualboxのofbox を使いたいかもしれませんが--uid-owner、仮想マシンにも所有者ルールを持っているかもしれません。

--gid-ownerも存在することに注意してください。グループbrowserとsgidブラウザアプリを作成して、効果的なグループで実行し、browser閲覧したいユーザーのみをそのグループに配置することもできます。これは、完璧な解決策...しかし、ほとんどのユーザーはそのグループとして他のアプリを実行しようとしないため、通常、送信をそのアプリケーションに制限します。私はこれを試したことがないので、私が説明したように機能することは100％ではありません。