охохох. Никогда не реализовывал, но, к примеру, при создании новой сессии - можно силами php создавать какой-нибудь файлик, содержащий добавление нужного правила iptables, и при завершении сессии - создавать файлик с правилом на удаление, а bash-скриптом по крону, или демоном запустить - проверять состояние этих создаваемых файликов и применять правила из вновь появившихся файлов. Звучит очень криво, но в голову ничего не пришло больше.
