Но вот эта штука еще мощее
NFTSet=
This setting provides a method for integrating dynamic cgroup, user and group IDs into firewall rules with NFT sets.

Я уж молчу, что даже можно BPF-фильтр прикрутить