Estou usando o IPSEC no modo de encapsulamento e preciso garantir que o tráfego todo de um determinado usuário neste computador esteja restrito à conexão VPN e, se a VPN estiver inativa, os pacotes sejam rejeitado.
Assim, todo o tráfego é permitido, a menos que o usuário seja 'myuser'. Se o proprietário for 'myuser', todos os pacotes não ipsec (entrada e saída) devem ser rejeitados.
Eu tentei pensar que a primeira regra iria pegar todo o tráfego ipsec e permitir, então bloquear todo o tráfego não-ipsec. No entanto, isso só bloqueou todo o tráfego do myuser:
iptables -A OUTPUT -m owner --uid-owner myuser -m policy --pol ipsec --dir out -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner myuser -j REJECT