Есть ли способ применить фильтр (какие-то правила брандмауэра) к командам, которые можно передавать через netlink?
Я хотел бы ограничить разрешенные команды очень небольшим подмножеством того, что позволяет netlink, перед запуском моей программы (которая открывает сокет af_netlink).
Программа будет иметь некоторые возможности администрирования через netlink, поэтому у нее должна быть возможность CAP_NET_ADMIN, но я хотел бы закрыть все возможное с помощью seccomp, а затем грубой фильтрации (или тонкой фильтрации, если возможно), что разрешено через сокет netlink .