Você pode usar o módulo owner
netfilter. Por exemplo, execute deluged
como um usuário deluge
e aplique a regra:
iptables -A OUTPUT -m owner --uid-owner deluge \! -o tun0 -j REJECT
Ele rejeitará tudo, exceto as conexões ao tun0 para qualquer processo em deluge
user.