Solution 1 :
Une option serait de consigner n'importe lequel de vos paquets abandonnés avec une règle comme :
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl -j LOG --log-prefix "FW_DROPPED: "
Insérez-le juste avant le DROP régner. Ensuite, vous pouvez grep le fichier syslog pour tout ce qui contient "FW_DROPPED" et la liste des adresses IP sera là. Les entrées du fichier journal ressemblent à ceci :
Jun 3 08:05:57 some-machine kernel: [15852451.420557] FW_DROPPED: IN=eth0 OUT= MAC=00:50:ba:4a:d9:e3:00:12:17:3a:e3:64:08:00 SRC=228.23.45.189 DST=192.168.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=10941 PROTO=TCP SPT=58212 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Donc, couper ce qui suit "SRC=" vous montrera les adresses IP supprimées. Triez cela, en éliminant les doublons, et vous aurez votre liste.
J'ai trouvé que le didacticiel Iptables était la documentation la plus utile pour iptables/netfilter.
Solution 2 :
Vous pouvez trouver des détails sous /proc/net/ipt_recent/SSH.
Cet article contient plus d'informations.
Solution 3 :
Regardez
/proc/net/ipt_recent/YOURNAME
où VOTRENOM est le nom que vous avez utilisé avec l'option --name dans votre règle iptables.
Solution 4 :
Voici une phrase simple :
$ iptables -L -n --line