почему брандмауэр, блокирующий приложение по группам, может не работать?

для блокировки приложения я следил за этим , но вроде:

groupadd nonet adduser $USER nonet iptables -A OUTPUT -m owner --gid-owner nonet -j REJECT #put at /etc/rc.local sudo -k iptables --list |grep nonet #to confirm #REJECT all -- anywhere anywhere owner GID match nonet reject-with icmp-port-unreachable 

для проверки (после перезагрузки):

 sg nonet "ping www.google.com" #was blocked sg nonet "google-chrome" #was able to connect, why? sg nonet "links2" #was able to connect, why? # showed all properly being on group nonet ps --forest -A -o pid,ppid,user,group,cmd |egrep "links|chrome" 

Итак, почему они смогли подключиться?
Как бонус, как улучшить правило брандмауэра, чтобы он работал правильно?

ps .: ubuntu 16.04 здесь

Interesting Posts
Linux и Unix - лучшая ОС в мире.