Изоляция приложения от сети

Firejail, но канонично запускать от пользователя без сети.

посмотри на «ip netns»

Если в proxychains поставить адрес проксей 0.0.0.0, то сеть будет недоступна для приложения.

Запуск: proxychains4 'app-name'.

Сейчас уже актуален форк proxychains-ng, я несколько лет назад пользовался.

Bubblewrap.

bwrap --bind / / --unshare-net YOUR_APP

За подробностями см. сюда https://wiki.archlinux.org/title/Bubblewrap

запускается без доступа к сети?

Есть. Изврат вот, запрещаешь группе/пользователю доступ к сети и открываешь приложение от этого пользователя. Гуи также можно открыть командой из терминала.

у iptables раньше вроде был --pid-owner

но мне кажется сейчас только по пользователю можно ограничивать

Да, то что нужно:

$ firejail --net=none librewolf

А оно не пропускает некоторые пакеты как torify?

ansys пропускает

unshare -n command

так графические приложения не запускаются:

~ 
➜ sudo unshare -n curl ifconfig.me
[sudo] password for sergey: 
curl: (6) Could not resolve host: ifconfig.me

~ took 3s 
➜ sudo unshare -n librewolf       
Running  as root in a regular user's session is not supported.  ($XAUTHORITY is /run/user/1000/gdm/Xauthority which is owned by sergey.)

~ 
➜ sudo unshare -n code            
You are trying to start Visual Studio Code as a super user which isn't recommended. If this was intended, please specify an alternate user data directory using the `--user-data-dir` argument.

~ 
➜ sudo unshare -n code --user-data-dir /tmp/code

~ 
➜ mkdir /tmp/code          

~ 
➜ sudo unshare -n code --user-data-dir /tmp/code

opensnitch