como posso dar a um usuário normal acesso de gravação a uma interface de rede?

Adicione uma regra sudo para permitir que o usuário execute seu script. Execute visudo e adicione algo assim ao arquivo sudoers :

Defaults!/path/to/bridge env_reset
alice, bill  ALL = (root) /path/to/bridge

Note que ele permite que os usuários passem qualquer argumento para o programa /path/to/bridge . Adicione "" no final da linha para proibir a transmissão de quaisquer argumentos.

Para facilitar o gerenciamento de usuários, você pode preferir definir um grupo de usuários com permissão para controlar a ponte. Substitua alice, bill por %bridgers , em que bridgers é o nome do grupo.

Dentro do programa bridge , $SUDO_UID é o ID do usuário que chamou sudo . Se o programa exigir que o usuário esteja na variável USER , escreva um script de shell pequeno que defina USER=$SUDO_UID .

Você pode restringir sudoers os comandos que podem ser executados com o sudo.

Escreva um pequeno script ./bridge que chama sudo ./real-bridge e dê aos usuários o direito de executar ./real-bridge como root via sudo.

Não tenho certeza se funciona com dispositivos eth, mas esse pessoal faz com dispositivos tun.

$ tail -n1 /etc/udev/rules.d/20-kvm.rules 
KERNEL=="tun",          NAME="net/%k", GROUP="mygoodusers", MODE="0660"

Veja - GROUP="mygoodusers", MODE="0660" - nessa linha. Claro que você tem que colocar cada usuário nesse grupo.

udevadm control --reload-rules

mas, até a reinicialização, você precisa chmod / chown manualmente.