Não, hosts.deny não fará isso. Nem o hacking / etc / hosts fará qualquer diferença (pode quebrar a biblioteca de resolvedores, mas não impedir que um aplicativo faça conexões de saída se não usar o resolvedor padrão ou encontrar endereços de alguma outra forma).
Usar um firewall é realmente a maneira mais óbvia. Para o tráfego gerado localmente, o iptables é capaz de bloquear pacotes de saída por ID de usuário, ID de grupo ou ID de processo, o que significa que você pode restringi-lo a processos específicos. Provavelmente, a maneira mais fácil é fazer isso com o ID do usuário e executá-lo com algum usuário restrito.