Linux iptables：允许（接受）组不工作

我正在尝试锁定 Linux 笔记本电脑（IN 和 OUTPUT），并且只允许由特定组启动的软件。在阅读了许多（许多）帖子并找到了这个解决方案之后，但它没有用。 这就是我为测试输出所做的。如果我能让它工作，我会为 INPUT 做同样的事情。

下载 firefox.tar.bz2 并解压到 path/to/my/folder

首先，在 GUI 中，我转到菜单/管理/用户和组，创建一个新组“freegroup”并将笔记本电脑上的唯一用户“我自己”添加到该组。如果我点击用户，我可以在组中看到第二组是“freegroup”

1. 关闭 GUFW（在 GUI 中）

2. 确保我们开始是空的：

   sudo iptables -F

   sudo iptables --delete-chain

3. 列表规则：

   sudo iptables -L -n

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination       

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
         
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

4. 为组“freegroup”添加规则，并确保添加补充组选项：

   sudo iptables -A OUTPUT -m owner --gid-owner freegroup --suppl-groups -j ACCEPT

5. 关闭输出

   sudo iptables --policy OUTPUT DROP

6. 列出新规则

   sudo iptables -L -n --line-numbers

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            owner GID match 1001 incl. suppl. groups

7. 从终端以组“freegroup”运行 Firefox：

   sudo -g freegroup -s path/to/my/folder/firefox

Firefox 启动，但无法连接到互联网...

我只在终端看到错误

ATTENTION: default value of option mesa_glthread overridden by environment.

我做错了什么？我对 Linux 很陌生。请帮助不要投票！！！谢谢！！！