Есть ли способ применить правило политики / брандмауэра, чтобы уже запущенный процесс (или пользователь, от имени которого он запущен) при вызове sendto (2) на сокете udp / 53 возвращал EPERM (Операция не разрешена)?
Простое отклонение / отбрасывание исходящих пакетов udp / 53, соответствующих конкретному uid с iptables, не работает, так как удаление происходит после создания пакета.
Другая идеяЯ пытался установить для переменной sysctl net.netfilter.nf_conntrack_max значение 0 и пытался отслеживать соединение с исходящими пакетами udp / 53, соответствующими определенному uid, однако эти пакеты, похоже, работали нормально (я ожидал, что это не удастся, поскольку состояние отслеживания соединения не можетбыть создан).