Глупый вопрос по iptables app-firewall

Да, только MAC, только контейнеры, только ультрахардкор. nftables, правда, стоит посмотреть, а вдруг.

Можно выделять приложения в изолированные нетспейсы через ip netns:
https://web.archive.org/web/20160922124826/https://habrahabr.ru/post/310646/

mkdir /sys/fs/cgroup/net_cls/block
echo 42 > /sys/fs/cgroup/net_cls/block/net_cls.classid

iptables -A OUTPUT -m cgroup --cgroup 42 -j DROP

echo [pid] > /sys/fs/cgroup/net_cls/block/tasks

http://unix.stackexchange.com/questions/68956/block-network-access-of-a-process

AppArmor в апстриме не умеет работать с сетью, надо или патчить ядро патчами от каноникал или брать убунту (там они свои патчи тянут сразу).

Вариант конечно , но сильно заморочено и привязано к pid, а не имени исполняемого файла..

На самом деле довольно удобна модель безопасности на основе зон доверия, используемая в firewalld, этого должно хватить для 95% задач. Например, у меня SSH-сервис доступен только через одно из VPN-подключений, которое средствами NetworkManager динамически поднимается и привязывается к доверенной зоне firewalld.
Под оставшиеся задачи можно наклепать несколько нетспейсов с разным уровнем доверия через юнит-шаблон. Остаётся лишь запускать задачи через префикс, вот вам и привязка к имени процесса да ещё и с зонами доверия. Пример использования нетспейсов есть тут: https://web.archive.org/web/20160922124826/https://habrahabr.ru/post/310646/

Мне интересна блокировка OUTPUT соединений, ну точнее создать список разрешенного софта, который может ходить в интернет, а попытки других програмулин записывать в лог.