Tente fazer isso:
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
Suponha que eu adicione um IP ao bloqueio do iptables para o exim, dovecot e FTP e este IP visite meu servidor novamente.
Existe algum registro desta visita para que eu possa confirmar se o IP estava tentando acessar o servidor novamente, mas foi bloqueado?
Se você bloquear um endereço IP (ou rede) específico, poderá visualizar a contagem de ocorrências da regra de bloqueio por meio de iptables -L -vn . Se os contadores de pacotes e bytes aumentarem, o endereço IP / rede visitou novamente.
Se você precisar das informações registradas, você pode usar o alvo LOG no iptables:
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j LOG --log-prefix "iptables: "
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j DROP
A primeira linha registra a tentativa de conexão (para syslog ou o que você configurou) prefixando-a com "iptables:" para que você possa fazer uma busca mais fácil ou ter a saída redirecionada pelo syslog para um iptables.log especial por exemplo. Um salto de LOG sempre retorna à cadeia onde a tentativa de conexão é descartada pela segunda regra.
Veja também a resposta do @sputnick para a taxa adicional que limita essas entradas de log para evitar spam.