aqui está o comando iptables para permitir um certo uid através de uma determinada porta.
iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner username -j ACCEPT
da página de manual
[!] --uid-owner userid[-userid] Matches if the packet socket’s file structure (if it has one) is owned by the given user. You may also specify a numerical UID, or an UID range.
no que diz respeito ao virtualbox .. Acredito que ele executa seu próprio kernel ... portanto, talvez você queira usar o --uid-owner de virtualbox no sistema operacional host, mas tenha uma regra de --uid-owner de proprietário na máquina virtual como bem.
Também pode ser útil observar que --gid-owner também existe e você pode criar um grupo browser e sgid de seus aplicativos de navegador para que ele seja executado com um grupo efetivo browser e só coloque usuários que você quer ter navegação nesse grupo ... isso não seria uma solução perfeita ... mas a maioria dos usuários não tentaria executar nenhum outro aplicativo como esse grupo, geralmente restringindo a saída para esse aplicativo, acredito. Eu não tentei isso, então eu não estou 100% que funcionaria como eu descrevi.