Con iptables, puede escribir la actividad de la red en el archivo de registro, es decir, qué datos se envían hacia y desde donde provienen. Comando de ejemplo:
sudo iptables -t filter -A FORWARD -s 192.168.1.0/24 -m tcp -p tcp –dport 80 -j LOG –log-prefix “iptables: “
Que la información no fue escrita en rsyslog un archivo, y por separado, crearemos un archivo:
sudo nano /etc/rsyslog.d/10-iptables.conf
Y agregue lo siguiente:
:msg, contains, “iptables: ” -/var/log/iptables.log
& ~
Para aplicar los cambios, reinicie rsyslog:
sudo /etc/init.d/rsyslog reload
Hecho, la actividad de red especificada en la primera regla se escribirá en el archivo /var/log/iptables.log.
También es conveniente configurar logrotate para eliminar registros antiguos y ahorrar espacio en el disco.