Quand on a des règles firewall restrictives en sortie (table filter, chaîne OUTPUT), on peut vouloir ouvrir des accès pour un programme particulier. Cela ne peut pas se faire directement avec iptables : impossible de faire une règle basée sur un exécutable ou même un PID. Cela permettrait des contournements dangereux.
Des solutions sont possibles avec différents mécanismes de sécurité (selinux, apparmor, cgroup, network namespace…), mais je trouve beaucoup plus simple d’utiliser un groupe linux, et l’extension owner d’iptables (–gid-owner).