Hello,

  La cible DROP interromp immédiatement le traitement du paquet quand elle se déclenche, donc pour que le LOG marche il faut absolument qu'il soit atteint avant le DROP. Or par défaut, iptables -A ajoute la régle à la fin de la table. Es-tu sûr d'avoir les règles dans le bon ordre ?

  Deuxièmement, ou regardes-tu pour obtenir les logs ? ils doivent apparaitre dans le log noyau (commande dmesg), s'il n'y sont pas c'est que la règle ne marche pas. Il sont aussi envoyés sur le syslog, mais il faut que syslog soit correctement configuré pour les poser ou tu veux (la facility sera "kernel")

D'autres détails en vrac:

  Iptables n'est pas forcément la meilleure solution pour le "filtrage de sites", il faudrait préciser ce que tu veux faire. Si c'est pour du filtrage web, un proxy obligatoire donnera moins de faux positifs, et pourra observer plus de choses .

  Tu utilises une règle stateless, qui se déclenchera aussi en réponse à une connexion venant de l'extérieur. Si tu es derrière du nat ce n'est pas un problème (les connexions entrantes ne passeront pas), mais si un site interdit se met a scanner tes machines, ton log sera pollué de faux positifs.

  Enfin, la règle de log est a priori plus à sa place dans la table filter que dans la table nat, c'est plus propre (question de goût...)