@tolstoevsky
это неплохой вариант, но я предпочитаю не давать ему возможности вообще никуда подключаться, кроме набранного мной сайта

в firejail есть возможность прокидывать отличный от системного DNS, но не уверен, что там есть полноценный firewall (на случай, если он свой DNS попытается использовать в будущем)
да и мне спокойнее с виртуалкой - отпечатки браузера, выход из песочницы, и прочие проблемы изоляции

@apxont