ファイアウォールがグループごとにアプリケーションをブロックするように正しく設定する方法は?

ファイアウォールがグループごとにアプリケーションをブロックするように正しく設定する方法は?

私がフォローしているアプリをブロックするこれしかし、次のようになります。

groupadd nonet
adduser $USER nonet
iptables -A OUTPUT -m owner --gid-owner nonet -j REJECT #put at /etc/rc.local

sudo -k iptables --list |grep nonet #to confirm
#REJECT all -- anywhere anywhere owner GID match nonet reject-with icmp-port-unreachable

テスト(再起動後):

sg nonet "ping www.google.com" #was blocked
sg nonet "google-chrome" #was able to connect, why?
sg nonet "links2" #was able to connect, why?

# showed all properly being on group nonet
ps --forest -A -o pid,ppid,user,group,cmd |egrep "links|chrome"

したがって、一部のアプリケーションには適していません。
ファイアウォールルール(グループ別)をすべてのアプリケーション(使用時)に適用するにはsg nonet

PS:ここはUbuntu 16.04です。

関連情報