Но вот эта штука еще мощее NFTSet= This setting provides a method for integrating dynamic cgroup, user and group IDs into firewall rules with NFT sets.
Я уж молчу, что даже можно BPF-фильтр прикрутить