блокировать приложение iptables'ом

можно!

1. запускаеш этот процесс от пользователя user1
2. iptables -A OUTPUT -m owner --uid-owner user1 -o ppp0 -j DROP

В данном примере будут блокироваться все пакеты для которых uid-owner user1. А так чтобы динамически? Тоесть привязать например к названию приложения или еще что то в этом роде?

Кстати, пробовал это правило PID=`ps aux |grep inetd |head -n 1 |cut -b 10-14`

iptables -A OUTPUT -p TCP -m owner --pid-owner $PID -j ACCEPT

так выдает

iptables: Invalid argument

а в dmesg ipt_owner: pid, sid and command matching not supported anymore

Это что значит? Изменили реализацию данного параметра?

man iptables

NOTE: pid, sid and command matching are broken on SMP

И что делать?))

Отвечу сам себе, и если вдруг кому будет интересно:

http://lists.debian.org/debian-firewall/2006/03/msg00009.html

Так что реально запретить отдельному приложению с помощью iptables?

Скорее всего нельзя, но можно попробовать использовать в качестве классификатора параметр string. Тогда iptables могут делать что-то с пакетом на основании заданного набора байтов внутри. http://www.securityfocus.com/infocus/1531