Suponha que eu adicione um IP ao bloqueio de iptables para exim, dovecot e FTP e esse IP visite meu servidor novamente.
Existe algum registro dessa visita para que eu possa confirmar se o IP estava tentando acessar o servidor novamente, mas foi bloqueado?
Responder1
Tente fazer isso:
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
Responder2
Se você bloquear um endereço IP específico (ou rede), poderá visualizar a contagem de ocorrências da regra de bloqueio via iptables -L -vn. Se os contadores de pacotes e bytes aumentarem, o endereço IP/rede foi visitado novamente.
Se precisar das informações registradas, você pode usar o alvo LOG no iptables:
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j LOG --log-prefix "iptables: "
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j DROP
A primeira linha registra a tentativa de conexão (para o syslog ou o que quer que você tenha configurado) prefixando-a com "iptables:" para que você possa fazer o grep mais facilmente ou ter a saída redirecionada pelo syslog para um iptables.log especial, por exemplo. Um salto LOG sempre retorna à cadeia onde a tentativa de conexão agora é descartada pela segunda regra.
Veja também a resposta do @sputnick para limitar adicionalmente essas entradas de log para evitar spam de log.