Сетевые соединения мониторятся через /proc/net/tcp
и дальше потом по inode можно найти процесс.
Сделаем в фильтре для output по умолчанию policy drop, и как в «этих ваших линуксах» узнать процесс чьё соединение дропнуто?
Из лога фильтра можно destination получить, и всё…
UPD. Пока только мысль как-то редиректить такой трафик на локальный сервис и что-то потом с этим делать.
UPD. Для tcp всё-таки через /proc/net/tcp
.