Você registraria o tráfego com
sudo iptables -I OUTPUT 1 ! -d 10.0.101.0/24 -j LOG
Altere "10.0.101.0/4" para a sua máscara de rede
Tenha em mente que a ordem é importante no iptables, então você pode precisar colocar o log em outro local ou adicionar logs para roteamento (POSTROUTING), como desejar.
Lembre-se também de que isso preencherá seus registros. A menos que você planeje monitorar os logs, você pode querer usar um método alternativo, como snort (você pode configurar o snort para alertar você sobre determinado tráfego) ou um proxy http (squid se você estiver em uma organização grande).
Você pode querer limitar seus registros
sudo iptables -I OUTPUT 1 ! -d 10.0.101.0/24 -m limit --limit 5/min -j LOG
Veja também link