Eu usaria o módulo proprietário do iptables (talvez junto com outros módulos de cotas / relatórios).
iptables -A OUTPUT -p tcp --dport 22 -m owner --uid someuser -j ACCEPT
E, em seguida, veja a saída de iptables -vL
para ver a quantidade de pacotes / bytes passados por essa regra ou analise as estatísticas do iptables com algum analisador.