Если вы имеете в виду «локального пользователя с дискретным uid», вы можете использовать модуль владельца (-m owner) и параметр --uid-owner #.
Но здесь есть некоторые проблемы:
- Это работает только для исходящих пакетов.
- Некоторые пакеты не имеют владельцев.
Сами по себе они обычно не являются нарушителями соглашения.Но вам нужно эффективно инвертировать условные и блокировать пакеты, не соответствующие пользователю.Я подозреваю, что это в достаточной степени нарушит обработку протокола, что простая попытка сделать это не удастся.
Я бы сказал, что прямой вывод 80-го порта, который, как вы знаете, будет иметь привязку пользователя к отдельной цепочке, а затем фильтровать только этоцепочка по пользователю.Это должно в достаточной степени нарушить трафик другого пользователя, но не внутренний трафик, чтобы в целом соответствовать вашим требованиям.