En Mac OS X, ¿es posible limitar los hosts accesibles de una aplicación usando sandbox-exec?
Puedo hacerlo fácilmente a través de una aplicación de firewall, pero preferiría hacerlo a través del mecanismo nativo de sandbox en ciertos casos.
Hasta ahora he intentado usar algo como esto en el perfil de sandbox:
(allow default)
(deny network-inbound)
(deny network-outbound)
(allow network-outbound (remote ip "10.0.1.1:443"))
pero recibo errores cuando intento ejecutar sandbox-exec:
<snip>: host must be * or localhost in network address
Por lo que sé, no hay documentación oficial para el entorno limitado de OS X, y los ejemplos incluidos en /usr/share/sandbox y /System/Library/Sandbox/Profiles/ no tienen nada similar a lo que estoy tratando de hacer.