iptables 日志输出？

您问题中的命令iptables -A INPUT -i wlan0 -p tcp --syn -s 10.0.0.1 -j ACCEPT未指定任何日志记录。但是每个 iptables 规则都包含用于匹配数据包的数据包和字节计数器，因此在执行此命令之后，您可以运行，并查看自规则创建或上次重置以来通过源 IP 地址 10.0.0.1 的接口iptables -L -vn到达的 TCP SYN 数据包的数量wlan0iptables 规则计数器的数量（以最新的为准）。

如果使用-j LOGiptables 目标，匹配的数据包将记录在内核日志中。可以使用以下命令查看最新的内核日志消息dmesg；通常，内核日志消息也会由您的 Linux 发行版使用的任何日志系统记录。

使用经典syslog风格的日志记录，我希望通常在/var/log/messages（RHEL 风格的系统日志配置）或/var/log/kern.log（Debian 风格的系统日志配置）中看到内核日志消息。

在用作systemd-journald主要日志系统的发行版上，journalctl _TRANSPORT=kernel应输出当前存储的所有内核日志消息journald。

--log-prefix您可以选择使用带有 的选项来指定最多 29 个字母的自定义消息前缀iptables ... -j LOG。日志消息是相当长的行，如下所示（为了\便于阅读，分为多行）：

<timestamp> <hostname> kernel: [optional-prefix]IN=<incoming-interface> OUT=<outgoing-interface> \ 
    MAC=<destination MAC address>:<source MAC address>:<ethertype/length> \
    SRC=<source IP address> DST=<destination IP address> LEN=<packet length> \
    TOS=<type-of-service value> PREC=<precedence value> TTL=<packet time-to-live value> \
    ID=<ID field value/fragment ID> PROTO=<protocol> <protocol-specific information...>

IN=和字段OUT=将出现，但如果不适用则为空：记录在INPUT过滤器链中的包将仅具有IN=指定的接口， 和分别OUTPUT仅在链中OUT=；记录在链中的数据包FORWARD将填写这两个字段。

例如，记录的传入 TCP SYN 数据包的日志行-j LOG --log-prefix "custom-prefix:"可能如下所示：

Dec 08 12:00:00 hostname.example kernel: custom-prefix:IN=eth0 OUT= \
    MAC=11:22:33:44:55:66:aa:bb:cc:dd:ee:ff:08:00 SRC=192.0.2.2 DST=192.168.0.1 LEN=40 TOS=0x00 \
    PREC=0x00 TTL=232 ID=12345 PROTO=TCP SPT=54321 DPT=22 WINDOW=1023 RES=0x00 SYN URGP=0

如果您希望 iptables 日志与其他内核日志消息分开，您可以设置ulogd（版本 2.x 或更高版本），然后使用iptables ... -j NFLOG.在非常古老的内核上，您可能还会看到-j ULOG，但这已被弃用，现在应该成为古老的历史。