Acho que sua intenção está clara aqui: registre URLs de sites visitados por qualquer pessoa que esteja usando qualquer aplicativo como usuário convidado.
Sugerir o log do iptables para realizar esta tarefa não está correto. O iptables (sem algumas extensões obscuras que limitam o desempenho) funciona no protocolo IP, não no nível do aplicativo.
Eu também vi sugestões nos URLs sugeridos como comentários - os respondentes sugeriram apenas capturar pacotes com sinalizadores SYN (novas conexões). Isso também resulta de um mal-entendido descrito acima.
A maneira de conseguir o que você quer é:
- Instale um proxy da Web (de preferência leve, como tinyproxy).
- Adicione regras de iptables que redirecionam as conexões de saída feitas por apenas um usuário específico para as portas 80,443 / tcp para o proxy local.
O que eu tinha em mente é descrito aqui (não é o meu post). Dessa forma, você obtém um log de proxy da web que tem todas as solicitações HTTP registradas. Você não receberá registros relacionados ao tráfego protegido por SSL, o que é bom.
Para reiterar: URLs não fazem parte da estrutura de cabeçalho IP ou TCP, portanto, algo trabalhando no nível IP / TCP não mostrará esses dados, a menos que tenha algum dissector TCP (tcpdump / wireshark são capazes de fazer isso, mas não apenas iptables).