Para isolamento, executo o Firefox através do Xephyr com Openbox. No perfil Firejail, configurei net enp2a1para isolar a rede por meio de namespaces de rede. Mas não gosto que um usuário comum possa substituir as regras de rede com a --netfilter=fileopção.
Existe uma maneira de limitar a capacidade de qualquer usuário(exceto raiz)alterar as regras de filtro de rede? Por exemplo, é usado o valor da netfilter-default /etc/iptables.iptables.rulesopção in firejail.config, que ninguém poderá substituir no futuro. E o arquivo firejail.config só pode ser alterado pelo usuário root.
A restricted-network yesnão combina comigo, porque então o isolamento da rede não funcionará( net enp2a1, etc.)