Eu não tentei eu mesmo, mas as opções --uid-owner
e --gid-owner
para as regras iptables
parecem permitir que você restrinja as conexões com base no UID e no GID. Em outras palavras, usuários específicos podem ser impedidos de fazer conexões de saída em uma determinada interface.
Então, talvez algo assim (não testado), para bloquear todo o acesso ao loopback:
iptables -A OUTPUT -o lo -m owner --uid-owner {USERNAME} -j REJECT
... ou se suas contas bloqueadas estiverem no mesmo grupo:
iptables -A OUTPUT -o lo -m owner --gid-owner {GROUPNAME} -j REJECT
Se você precisar de algo mais granular, este artigo do nixCraft tem um exemplo de como permitir algumas portas, mas não outras.