LOG

-j LOG [options]

内核会把匹配到该规则的包的信息打出来，打印出来的日志可以通过dmesg或syslogd看到，如果level是前四种，日志会。这是一个Non-Terminating Target

常用的options有

--log-level level

level的值有emerg、alert、critical、error、warning、notice、info和debug

--log-prefix prefix

在该条日志的前面添加前缀，方便从所有日志中查找

示例

• 打印出目的地址为10.254.0.1的包的信息

$ iptables -t filter -I output -d 10.254.0.1 -j LOG --log-level info --log-prefix "Found packet to 10.254.0.1: "

接下来我们从本机上ping一下10.254.0.1

$ ping 10.254.0.1 -c 1

然后查看日志

$ dmesg | grep 10.254.0.1
[21646.526139] Found packet to 10.254.0.1IN= OUT=ens33 SRC=192.168.2.104 DST=10.254.0.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=60109 DF PROTO=ICMP TYPE=8 CODE=0 ID=33079 SEQ=1