Для изоляции я запускаю Firefox через Xephyr с Openbox. В профиле Firejail я установил net enp2a1изоляцию сети через сетевые пространства имен. Но мне не нравится, что обычный пользователь может переопределять сетевые правила с помощью этой --netfilter=fileопции.
Есть ли способ ограничить возможности любого пользователя?(кроме корня)изменить правила сетевого фильтра? Например, используется значение из netfilter-default /etc/iptables.iptables.rulesопции в firejail.config, которое никто не сможет переопределить в будущем. А файл firejail.config может изменить только пользователь root.
А restricted-network yesмне не подходит, потому что тогда сетевая изоляция не будет работать( net enp2a1, и т. д.)