Обычно, сообщения от Iptables записываются в /var/log/messages файл. Хотя, вы можете изменить назначение. Используя специальный файл для хранения логов Iptables вам легче будет проводить последующий анализа.
И так, что бы наши логи писались в отдельный файл, открываем /etc/syslog.conf и добавляем:
kern.warning /var/log/iptables.log
Записываем и перезапускаем syslog:
/etc/init.d/syslog restart
Теперь можно включить логирование в iptables. Например будем логировать весь ssh трафик исходящий с сервера:
-A OUTPUT -p tcp -m tcp —dport 22 -j LOG —log-prefix «outgoing ssh:»