Ci sono un numero abbastanza grande di opzioni: iptables, firewalld, shorewall, ufw e probabilmente un mucchio di altre.
Come menzionato da @ AndyMac , la conformità PCI è una questione che il firewall sta facendo (e come), e di garantire il monitoraggio.
Personalmente, trovo che lo shorewall è una buona partita qui, perché ha una strong nozione di zone e flussi inter-zona, ma YMMV.
Probabilmente vorrai o un demone syslog, o qualche tipo di parser di log, per raccogliere e inviare logging in una posizione centralizzata (che è un requisito PCI).
Non sono sicuro che farlo solo per un firewall centrale sia sufficiente - potrebbe essere preferibile avere un firewall + che acceda a tutti / molti nodi.
Modificato per aggiungere:
Sembra che il tuo problema riguardi più la registrazione che il firewall che usi. Come primo passo, installerei un sistema di test, assicurarmi che iptables sia installato e creare una regola per registrare tutte le nuove connessioni TCP: iptables -I INPUT 1 -p tcp -m conntrack --ctstate NEW -j LOG --log-prefix "TEST LOGGING"
.
Quindi grep -r 'IN=' /var/log
, dopo aver avviato alcune connessioni.
Se non vedi alcun output, controlla la configurazione di syslog.