Отключение доступа к сети для группы пользователей, но разрешить только SMTP

У нас есть среда, в которой наши пользователи входят в систему через ssh, и их оболочка настроена так, чтобы просто запускать Mutt на своем $HOME/Maildir. Мы хотим ограничить наших пользователей только возможностью отправлять / получать почту. Мы понимаем, что они не могут произвольных команд, так как у них нет приглашения оболочки, но некоторые пользователи могут быть недоверенными и могут найти какой-то способ выйти из Mutt и получить доступ к оболочке через выполнение кода. Мы в основном думаем о худшем сценарии. Нам известны учетные записи SELinux и guest_u, но мы нашли лучшее решение. Поскольку все наши пользователи входят в одну группу, скажем "пользователи", мы можем использовать следующее правило iptables для отключения исходящих пакетов. ping, dig, wget и т. д. не работают, но исходящая рассылка работает. Это именно то, что мы хотим, но почему пользователям вообще разрешен какой-либо исходящий доступ через Mutt, если им запрещено использовать другие инструменты, такие как dig, host, ping и т. Д.?

Вот правило, которое мы добавили:

$IPT -A OUTPUT -p all -m owner --gid-owner users -j DROP