Supongamos que agrego una IP al bloqueo de iptables para exim, dovecot y FTP y esta IP visita mi servidor nuevamente.
¿Hay algún registro de esta visita para que pueda confirmar que la IP estaba intentando llegar al servidor nuevamente pero fue bloqueada?
Respuesta1
Intenta hacer esto:
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
Respuesta2
Si bloquea una dirección IP (o red) específica, puede ver el recuento de visitas de la regla de bloqueo a través de iptables -L -vn. Si los contadores de paquetes y bytes aumentan, la dirección IP/red ha visitado nuevamente.
Si necesita que se registre la información, puede utilizar el objetivo LOG en iptables:
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j LOG --log-prefix "iptables: "
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j DROP
La primera línea registra el intento de conexión (a syslog o lo que haya configurado) con el prefijo "iptables:" para que pueda realizar grep más fácilmente o que syslog redirija la salida a un iptables.log especial, por ejemplo. Un salto de LOG siempre regresa a la cadena donde la segunda regla descarta el intento de conexión.
Consulte también la respuesta de @ sputnick para limitar aún más esas entradas de registro para evitar el spam de registros.