방화벽이 그룹별로 응용 프로그램을 차단하도록 올바르게 설정하는 방법은 무엇입니까?

방화벽이 그룹별로 응용 프로그램을 차단하도록 올바르게 설정하는 방법은 무엇입니까?

내가 팔로우하는 앱 차단이것, 그러나 다음과 같습니다:

groupadd nonet
adduser $USER nonet
iptables -A OUTPUT -m owner --gid-owner nonet -j REJECT #put at /etc/rc.local

sudo -k iptables --list |grep nonet #to confirm
#REJECT all -- anywhere anywhere owner GID match nonet reject-with icmp-port-unreachable

테스트(다시 시작한 후):

sg nonet "ping www.google.com" #was blocked
sg nonet "google-chrome" #was able to connect, why?
sg nonet "links2" #was able to connect, why?

# showed all properly being on group nonet
ps --forest -A -o pid,ppid,user,group,cmd |egrep "links|chrome"

따라서 일부 응용 프로그램에는 적합하지 않습니다.
방화벽 규칙(그룹별)을 모든 애플리케이션(사용 시)에 적용하는 방법은 무엇입니까 sg nonet?

추신: 여기는 우분투 16.04입니다.

관련 정보