Abaixo estão os passos gerais que eu tomei no passado para ativar o registro do iptables.
Modify Logging - sudo vi /etc/syslog.conf - kern.warning /var/log/iptables.log - sudo /sbin/service syslog restart - sudo vi /etc/logrotate.d/syslog - If this file is already there, add /var/log/iptables.log to the first line - If the file is not there, add it:/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron /var/log/iptables.log { sharedscripts postrotate /bin/kill -HUP 'cat /var/run/syslogd.pid 2> /dev/null' 2> /dev/null || true endscript }Implement firewall rules • sudo vi /etc/sysconfig/iptables.script • sudo chmod 700 /etc/sysconfig/iptables.script • sudo /etc/sysconfig/iptables.script
Dentro do meu script iptables, eu tenho todas as minhas regras genéricas de permissão no topo e depois na parte inferior eu tenho algumas regras de registro específicas. Abaixo estão alguns exemplos.
# Log dropped traffic
/sbin/iptables -A INPUT -j LOG -m limit --limit 10/m --log-level 4 --log-prefix "Dropped Traffic: "
# Log outbound traffic for anything not equal private ip ranges (this is defined in some previous rules)
/sbin/iptables -A OUTPUT -j LOG -m limit --limit 10/m --log-level 4 --log-prefix "Outbound Traffic: "
# Log traffic that doesn't hit a rule above (stuff that may be blocked in the future)
/sbin/iptables -A INPUT -j LOG -m limit --limit 10/m --log-level 4 --log-prefix "Potentially Dropped Traffic: "
Existem obviamente muitas coisas que você pode fazer com isso. Aqui é um bom link para algumas informações genéricas.