iptables loggin

[iGDark]

Moin,

ich versuche verzweifelt mein iptables dazu zu bringen, dinge die geblockt werden zu loggen (in eine andere Datei). Folgendes habe ich dafür gemacht:

Input-Chain:

#!/bin/sh
# 1 Iptables
fw="/sbin/iptables"

###############
#    INPUT    #
###############


$fw -A INPUT -p icmp -j ACCEPT
$fw -A INPUT -p tcp --dport 22 -j ACCEPT
$fw -A INPUT -s 127.0.0.1 -j ACCEPT

#DNS
$fw -A INPUT -p tcp --dport 53 -j ACCEPT
$fw -A INPUT -p udp --dport 53 -j ACCEPT

#Mail
$fw -A INPUT -p tcp --dport 25 -j ACCEPT
$fw -A INPUT -p tcp --dport 465 -j ACCEPT
$fw -A INPUT -p tcp --dport 587 -j ACCEPT
$fw -A INPUT -p tcp --dport 143 -j ACCEPT
$fw -A INPUT -p tcp --dport 993 -j ACCEPT

#FTP
$fw -A INPUT -p tcp --dport 20 -j ACCEPT
$fw -A INPUT -p tcp --dport 21 -j ACCEPT
$fw -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#HTTP
$fw -A INPUT -p tcp --dport 80 -j ACCEPT
$fw -A INPUT -p tcp --dport 443 -j ACCEPT
$fw -A INPUT -p tcp --dport 8443 -j ACCEPT

#Teamspeak
$fw -A INPUT -p udp --dport 9987 -j ACCEPT
$fw -A INPUT -p udp --dport 9988 -j ACCEPT
$fw -A INPUT -p udp --dport 9989 -j ACCEPT
$fw -A INPUT -p tcp --dport 10011 -j ACCEPT
$fw -A INPUT -p tcp --dport 30033 -j ACCEPT

#INPUT-CHAIN Default-Block & LOG
$fw -N droplog
$fw -A droplog -j LOG -m limit --limit 5/s --log-level 7 --log-prefix "INPUT-DROP: "
$fw -A droplog -j DROP
$fw -A INPUT -j droplog
$fw -P INPUT DROP

Habe also ne neue Chain gemacht (droplog), dort das loggen als Regel rein (mit level debug) und danach den drop in die query.

so dann habe ich noch folgendes gemacht

/etc/syslog.conf

kern.=debug                     -/var/log/firewalldrop

damit sollte er ja alles was debug-level hat in diese datei schreiben.
datei existiert, ich kann auch syslog neu starten ohne fehlermeldung. er schreibt aber absolut nichts rein in das file. wo ist der fehler?

aber auch in den normalen logs (messages, syslog, etc.) steht kein einziger drop drin (den ich aber sicher erzeugt habe).

(server-neustart hat auch nichts gebracht)