Até onde eu sei, a única maneira de restringir a conectividade com a Internet, aplicativo por aplicativo, é através dos recursos do SELinux, e envolve dar aos aplicativos que devem ter privilégios adicionais de conectividade com a Internet. Duvido que conceder privilégios adicionais ao Firefox contribua para a segurança, e um aplicativo que tente acessar a Internet poderia fazê-lo através do Firefox ou do wget ou de algum outro aplicativo "legítimo" de qualquer maneira. Além disso, para scripts, acho que você teria que dar os recursos ao interpretador (por exemplo, /usr/bin/python
), que não discrimina de forma útil.
Você pode restringir a conectividade com a Internet de usuário a usuário; veja ligue o software a diferentes interfaces de rede e Dual conexão de rede para exemplos. Ou você pode executar aplicativos para os quais não deseja conceder conectividade à Internet em um ambiente virtual leve, como o LXC .