iptablesから特定のルールを削除するにはどうすればよいですか？

ポート8006および8007でそれぞれ特別なHTTPおよびHTTPSサービスをホストしています。iptablesを使用してサーバーを「アクティブ化」します。つまり、着信HTTPおよびHTTPSポートをルーティングします。

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8006 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8007 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8006 
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8007  
iptables -A OUTPUT -t nat -d 127.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8006
iptables -A OUTPUT -t nat -d 127.0.0.1 -p tcp --dport 443 -j REDIRECT --to-ports 8007 

これは魅力のように機能します。ただし、サーバーを再び無効にする別のスクリプトを作成したいと思います。つまり、上記の行を実行する前の状態にiptablesを復元します。しかし、これらのルールを削除するための構文を理解するのに苦労しています。機能しているように見える唯一のことは完全なフラッシュです：

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

しかし、それは望ましくない他のiptablesルールも削除します。

同じコマンドを実行しますが、「-A」を「-D」に置き換えます。例えば：

iptables -A ...

なる

iptables -D ...

ルールの番号（--line-numbers）を使用することもできます。

iptables -L INPUT --line-numbers

出力例：

Chain INPUT (policy ACCEPT) 
    num  target prot opt source destination
    1    ACCEPT     udp  --  anywhere  anywhere             udp dpt:domain 
    2    ACCEPT     tcp  --  anywhere  anywhere             tcp dpt:domain 
    3    ACCEPT     udp  --  anywhere  anywhere             udp dpt:bootps 
    4    ACCEPT     tcp  --  anywhere  anywhere             tcp dpt:bootps

したがって、2番目のルールを削除する場合：

iptables -D INPUT 2

更新

特定のテーブル（natなど）を使用する場合（d）、それを削除コマンドに追加する必要があります（コメントには@ThorSummonerのthx）。

sudo iptables -t nat -D PREROUTING 1

問題なく機能する最善の解決策は次のようになります
。1.コメントを付けて一時ルールを追加します。

comment=$(cat /proc/sys/kernel/random/uuid | sed 's/\-//g')
iptables -A ..... -m comment --comment "${comment}" -j REQUIRED_ACTION

2.ルールが追加され、それを削除する場合（またはこのコメントのあるものすべて）、次の操作を行います。

iptables-save | grep -v "${comment}" | iptables-restore

したがって、$ commentに一致するすべてのルールを100％削除し、他の行はそのままにします。このソリューションは過去2か月間機能し、1日あたり約100のルールの変更があり、問題はありません。

最初に、次のコマンドですべてのiptablesルールをリストします。

iptables -S

それは次のようにリストされます：

-A XYZ -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

次に、目的の行をコピーして、ちょうど置き換える-Aと-Dそれを削除するには：

iptables -D XYZ -p ...

-Dコマンドを使用してください、これはmanページがそれを説明する方法です：

-D, --delete chain rule-specification
-D, --delete chain rulenum
    Delete  one  or more rules from the selected chain.  
    There are two versions of this command: 
    the rule can be specified as a number in the chain (starting at 1 for the first rule) or a rule to match.

他のすべてのコマンド（-A、-I）が特定のテーブルで機能するように、このコマンドを理解してください。デフォルトのtable（filtertable）で作業していない場合は、を使用-t TABLENAMEしてそのターゲットテーブルを指定します。

一致するルールを削除する

iptables -D INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

注：これにより、最初に一致したルールのみが削除されます。多くのルールが一致している場合（これはiptablesで発生する可能性があります）、これを数回実行します。

番号として指定されたルールを削除する

iptables -D INPUT 2

数を数える以外に、--line-numberパラメーターを使用して行番号をリストできます。次に例を示します。

iptables -t nat -nL --line-number

NATルールを削除する場合は、

以下のコマンドを使用して、追加されたIPtablesをリストします。

# sudo iptables -L -t nat -v

Chain PREROUTING (policy ACCEPT 18 packets, 1382 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    7   420 DNAT       tcp  --  any    any     anywhere             saltmaster           tcp dpt:http to:172.31.5.207:80
    0     0 DNAT       tcp  --  eth0   any     anywhere             anywhere             tcp dpt:http to:172.31.5.207:8080

IPテーブルからnatルールを削除するには、次のコマンドを実行します。

# sudo iptables -F -t nat -v

Flushing chain `PREROUTING'
Flushing chain `INPUT'
Flushing chain `OUTPUT'
Flushing chain `POSTROUTING'

次に、それを確認できます

# sudo iptables -L -t nat -v