Você realmente precisa de duas regras para isso.
Primeiro, uma regra para aceitar o tráfego proveniente desse grupo.
iptables -I OUTPUT 1 -m owner --gid-owner has-internet -j ACCEPT
Em seguida, uma regra para bloquear todo o tráfego restante.
iptables -I OUTPUT 2 -j DROP
(OBSERVAÇÃO: Se essas forem as ÚNICAS regras da tabela iptables ' OUTPUT , use apenas -A OUTPUT em vez de -I OUTPUT # , mas faça isso em ordem. Não é necessário usar -I a menos que você tenha outras regras na tabela especificada e esteja tentando inserir regras em um ponto diferente dentro da tabela que não seja o final.)
Observe que isso também pode ter alguns outros problemas, como coisas com root , superusuário ou outras contas de serviço tentando entrar em contato, e pode introduzir outros problemas com conectividade de rede no próprio sistema que não é diretamente relacionado ao acesso à Internet.