Tady mu IMHO jde o něco jiného - obrana proti jednotlivým aplikacím, aby nedělaly, co nemají.

Například zavést si na počítači pravidla typu:
- firefox může prakticky na jakoukoli adresu pomocí http+https+dns
- ssh+rsync můžou prakticky na jakoukoli adresu pomocí ssh+dns
- AlienShooter.exe nemůže používat síť vůbec

S tím, že by se nemuselo řešit, kam všude by se AlienShooter.exe (nebo obecně nějaká jiná konkrétní gameska) mohl kdy zkoušet jak připojit a zakazovat to jednotlivě (si vezmi, kolik toho je potřeba zakázat, pokud chceš plně odříznou facebook - https://www.github.developerdan.com/hosts/ - asi 30.000 adres - a jak chceš něco podobného tahat z nějakého binárního slizu typu AlienShooter.exe?) (člověk by ho strčit pod uživatele, který není v group NET, jenže takovou grupu vlastně na počítači nemám ... )

A navíc, že by firefox klidně mohl na www.alienshooter.com, abys mohl stahovat patche a nové verze a číst hinty a tak, zatímco AlienShooter.exe tam nemá co hrabat a to už IPtables IMHO neumí.