Em geral, isso é feito usando o destino -j LOG antes do alvo -j DROP.
Por exemplo, digamos que você tenha uma regra que bloqueie a entrada de solicitações ssh de um determinado ip
/sbin/iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -d <external IP on firewall> --dport 22 -j DROP
você modificaria sua configuração e adicionaria uma regra logo acima desta que é assim:
/sbin/iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -d <external IP on firewall> --dport 22 -j LOG
você também pode querer olhar para a opção --log-prefix=
, que permitirá que você adicione algumas notas (não muito) ao log.