Talvez a melhor opção seja usar ufw para desabilitar o tráfego de saída e ativá-lo apenas para portas específicas. Isso não é específico da aplicação.
Eu acho que para realmente obter aplicativos específicos, você precisa começar a mexer com AppArmor . Não tenho certeza, na verdade limitar o aplicativo por aplicativo é um problema difícil.
Por exemplo, o Firefox instalado em todo o sistema pode ter conexões de saída permitidas, mas e uma cópia do Firefox na sua pasta pessoal?