Сейчес логи iptables пишутся в /var/log/messages. Очень не удобно, потому как там полная каша. Кроме логов iptables, в него пишется все с чем ядро имело дело. А хотелось бы чтобы был отдельный лог, по всему что было заблокировано на входе и отдельным логом что на выходе.
Итак, говорим iptables что необходимо записать в лог /var/log/dmessages все что было дропнуто на входе и на выходе
IPTABLES -N RULE_4
IPTABLES -A INPUT -j RULE_4
IPTABLES -A RULE_4 -j LOG --log-level info --log-prefix "Входные -- БЛОКИРОВАНО "
IPTABLES -A RULE_4 -j DROP
IPTABLES -N RULE_4
IPTABLES -A OUTNPUT -j RULE_4
IPTABLES -A RULE_4 -j LOG --log-level info --log-prefix "Выходные -- БЛОКИРОВАНО "
IPTABLES -A RULE_4 -j DROP
Добавляем строки в /etc/syslog.conf
:msg, contains, "Входные -- БЛОКИРОВАНО " -/var/log/iptables_in.log
:msg, contains, "Выходные -- БЛОКИРОВАНО " -/var/log/iptables_out.log
& ~Первая строчка говорит syslogd, что нужно искать в логе фразу «Входные — БЛОКИРОВАНО », и когда он её находит, то переносит в файл /var/log/iptables_in.log Вторая строчка просто дает понять syslogd, чтобы найденные строки, подходящие под условия, не дублировались в основной лог /var/log/messages.
Перезапускаем демон syslog
/etc/rc.d/rc.syslogd restart
Файлы отдельные лог файлы iptables не создаются. Где напортачил?