Mandatory Access Control - Selinux или Apparmor

UID и GID. Слышал про них? Если нет - самое время почитать :-)

Выходит, надо создать группу типа allownetwork, ей в iptables разрешить, а остальным забанить? Я правильно понял?

pf-kernel для Linux v3.3: Вышел патчсет pf-kernel для Linux v3.3

добавлена поддержка сетевого фильтра уровня приложений (l7-filter)

netfilter не умеет фильтровать по пидам. Правильнее всего MAC использовать для этих целей. Можно костылем с SUID/SGID и -m owner

MAC? Ты что то перепутал.

И что же я перепутал?

Рекомендую подсмотреть реализацию аналогичной задачи в Liberté Linux, там на iptables.

Если тема ещё не протухла, то скажу только одно: iptables не умеет фильтровать по приложениям. Было время, существовал какой-то cmd-owner, но он фильтровал по argv[0], что не есть безопасно. Но задача решаема на уровне ядра. Только нужно дописать три вещи: модуль netfilter, привязку pid к сокету в системных вызовах и библиотеку для iptables. У меня есть готовые патчи, но мне это всё кажется грубым хаком (но вроде работает). Если же ты не доверяешь сторонним патчам, то вроде leopard flower делает тоже самое, но в юзерспейсе. Я правильно понял - нужна штука, которая на уровне системных вызовов будет решать - выйти приложению в сеть или нет? А ситуация вообще безвыходная здесь: с того времени, когда выкинули из ядра cmd-owner, этой проблемой никто не занимался, потому что Ъ-параноики фильтруют это во всяких статических и сложных для юзера selinux и apparmor. А зря.

Интересно!

Интересен подход к реализации application firewall, есть пара вопросов. Если можешь разъяснить подробнее, скинь, плз. свой контаткт (месенджер или почта) на dwolf[собачка]inbox[дот]ru???