Вы не можете препятствовать определенным программам для установления соединений через VPN, но если они хотят достичь определенного номера хоста или порта, тогда это возможно. Я собираюсь предположить худший случай, что вы хотите, чтобы определенные приложения обходили брандмауэр.
Это можно сделать с помощью SELinux, запретив сетевые подключения из одной программы.
Я думаю, что когда-то был модуль в iptables, который мог бы совпадать с отправкой программы, но я не знаю, как это сделать. увидели это через некоторое время.