Slackware 10.2 2.4.31. Настроена как маршрутизатор через iptables.
Как сделать так чтобы по обращению к маршрутизатору для получения сервисов от некоторого сетевого адреса инициировался некоторый скрипт?

боюсь, только через ключ --match в iptables и написание модуля ядра
в самом модуле через call_usermodhelper() запускать процесс, в контексте которого будет выполняться скрипт

Добавлено через 4 минуты и 18 секунд
iptables

MAKCim, 
спасибо

Добавлено через 4 минуты и 38 секунд
А если упростить задачу. Запускать скрипт по любому действию маршрутизатора(всмысле маршрутизация пакетов). 

без разницы
iptables по-умолчанию определяет 4 типа TARGET: ACCEPT, DROP, QUEUE, RETURN
т. е для того, чтобы иметь возможность запускать внешнее приложение необходимо реализоваывать свой TARGET

думаю тебе лучше делать это не посредством iptables, a посредством netcat или nmap.
почитай о port-knocking, я так понимаю ты хочешь именно это реализовать.
если кровь из носу - через iptables, то пиши модуль.
посмотри на сл. ссылки:
http://jengelh.medozas.de/documents/Netfilter_Modules.pdf
и вот эти примеры:
git://dev.computergmbh.de/xtables-addons


иначе, может быть такой расклад: 
ай-питэйблс бежит, и кто-то просто стучит тебе на какой-то порт.
твой компутер назапускает этих скриптов и даже если у тебя будет в скрипте проверка на это, всё равно ресурсы аллоцированные на несколько еще не успевших побегать процессов возможно перегрузят систему.

не кровь из носу, просто на iptables все уже работает 


Пока не критично, но задумаюсь. Спасибо.

решается созданием нового пользователя и установкой лимита количества процессов для него равным 1
также можно ограничить количество запусков скрипта из модуля, реализующего TARGET для iptables (лучший вариант)

Это сообщение отредактировал(а) MAKCim - 3.5.2008, 09:07

мне вообще как-то боязно какие-то скривпты запускать из модуля... чур их.
лучше уже свой модуль бинарненький забабахать.

все абсолютно безопасно
из ядра создается новый процесс, в контексте которого вызывается kernel_execve() для формирования линейного адресного пространства и отображения исполняемого файла (библиотеки)
есть стандартный интерфейс ядра, основанный на процессе ядра khelper и вызове call_usermodhelper() с указанием стандартных параметров (путь к программе, параметры командной строки, переменные окружения)

Добавлено через 1 минуту и 19 секунд

для взаимодействия с iptables? как?

если не ошибаюсь xtables ссылки приводят примеры кастомизированных таргетов.
я понял что человеку надо реализовать port-knocking. Это можно без написания модуля, на основе уже готовых компонентов.

не гитовскую ссылку можно?

не нашел информации о них
требую ссылки!   

качай гит. 

bilbobagginz, 

Странно... я зашел на главную страницу и уже оттуда перешел к xtables, мне не понадобился клиент для репозитория.