Você pode fazer isso com iptables .
Em um terminal, adicione a regra a iptables
sudo iptables -A OUTPUT -p all -m owner --uid-owner username -j DROP
onde username é o usuário que você deseja desabilitar a conexão com a Internet. Salve o arquivo e saia.
Isso adicionará uma regra a iptables dizendo que todos os pacotes de saída criados pelo usuário especificado serão descartados automaticamente por iptables .
Se você quiser fazer o mesmo para um grupo completo, sugiro que em vez de --uid username você use --gid-owner groupname , isso terá o mesmo efeito para um grupo de usuários completo.
Para evitar que o Security grupo acesse a Internet, o comando será parecido com este
sudo iptables -A OUTPUT -p all -m owner --gid-owner security -j DROP
Para tornar a regra permanente, você pode criar um script em /etc/network/if-up.d/ , adicionar as linhas necessárias a ele e torná-lo executável.
Como opção, use iptables-save para salvar suas regras atuais e restaurá-las na inicialização.
Salvar as regras atuais de iptables
sudo iptables-save > /etc/iptables_rules
Abra /etc/rc.local com seu editor de texto favorito e, no final do arquivo, adicione
/sbin/iptables-restore < /etc/iptables_rules
Isso restaurará as regras salvas em cada inicialização.
Para obter mais informações, visite a página [ iptables manpage ] para obter mais informações sobre várias opções iptables .