IPtablesのログの出力先を分けるためには、まずIPtablesの標準のログの出力先のファシリティは、「kern.warning」なので、このファシリティに出力されるログだけ別のファイルに出力するように設定を変更する。
その設定だけでは、ログが重複して出力されてしまうので、「/var/log/messages」に対する、「kern.warning」ファシリティの出力を除外する設定を加える。
# vi /etc/rsyslog.conf
kern.=warning /var/log/kern-warning
*.info;mail.none;authpriv.none;cron.none;kern.!=warning /var/log/messages
rsyslogの再起動をする。
# service rsyslog restart
ログローテーションの設定を追加する。
# vi /etc/logrotate.d.syslog
/var/log/kern-warning
また、アクセス数の多い負荷の高いサーバーでは、IPtableのトラッキングできるパケットの上限数に達して、新規セッションの接続を弾いてしまったりしてパフォーマンスの劣化を引き起こしたりするので、トラッキングできるパケットの上限数を標準の65535から増やしたほうがいいかもしれない。
# vi /etc/sysctl.conf
net.nf_conntrack_max = 196605
設定を反映する。
# sysctl -p