Para aislarlo, ejecuto Firefox a través de Xephyr con Openbox. En el perfil de Firejail, configuré net enp2a1aislar la red a través de espacios de nombres de red. Pero no me gusta que un usuario normal pueda anular las reglas de la red con la --netfilter=fileopción.
¿Hay alguna manera de limitar la capacidad de cualquier usuario?(excepto raíz)cambiar las reglas de filtrado de red? Por ejemplo, se utiliza el valor de la netfilter-default /etc/iptables.iptables.rulesopción in firejail.config, que nadie podrá anular en el futuro. Y el archivo firejail.config solo puede ser modificado por el usuario root.
A restricted-network yesno me conviene, porque entonces el aislamiento de la red no funcionará( net enp2a1, etc.)