iptables的问题

但是，要设置一个单独的文件，我只能在dmesg中看到logging的数据。

来自netfilter子系统的消息通过kenerl日志logging机制进行logging。 这显示在dmesg输出中，并且通常通过klogd的服务结束在您的系统日志中。

如果你正在运行rsyslog或者syslog-ng ，它们通常会本地读取内核日志数据。

这些消息使用'kern'工具在syslog中显示，因此在传统的syslog.conf文件中，您可以执行如下操作：

 kern.* /var/log/kernel-messages 

（但是请注意，会得到所有内核消息，而不仅仅是netfilter）。

rsyslog和syslog-ng都提供模式匹配function，使您能够更细致地控制日志消息的去向。

编辑：
您只需要接受和放下规则之间的日志规则 ，请参阅以下示例将它们发送到系统日志。 http://www.cyberciti.biz/tips/force-iptables-to-log-messages-to-a-different-log-file.html 。

这是有效的，因为日志不同于它是一个“非终止目标”，即规则遍历在下一个规则处继续。 – 从man iptables '。 因此，与其他规则不同的是，对照规则的检查不会在达到匹配时短路。

此外，请参阅此链接了解如何指定日志文件（但请注意后续文章）。

从之前（误读问题）：
你可能想要fail2ban ，自动为你做这个…这个职位的其他一些选项： 数百失败的SSHlogin 。

你想要的是Ulogd ，它使你能够将匹配的iptables数据包logging到用户指定的文件中。

一旦安装了ulogd ，编辑/etc/ulogd.conf文件并取消注释： plugin="/usr/lib/ulogd/ulogd_LOGEMU.so"

在[LOGEMU]部分中，您将看到file="/var/log/ulogd.pktlog"

这是你的iptables日志将去的地方。 我build议你也添加这个文件logrotate如果你已经安装了，因为日志可以变得很快，即使有限制。

一旦ulogd完成设置，你将会replace这个规则：

 -A INPUT -m limit --limit 5/min -p tcp -m tcp --dport 22 -j LOG --log-level 4 --log-prefix "** DoS **" 

有了这个规则：

 -A INPUT -m limit --limit 5/min -p tcp -m tcp --dport 22 -j ULOG --ulog-prefix "** DoS **" 

还值得注意的是，ulogd使您能够将数据包logging到数据库，如MySQL，PostgreSQL和SQLite。