Comment puis-je supprimer des règles de iptables?

Je suis d'hébergement spécial HTTP et HTTPS services sur les ports 8006 et 8007 respectivement. Je utiliser iptables pour "activer" le serveur; c'est à dire à la route entrant ports HTTP et HTTPS:

iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8006 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8007 -j ACCEPT
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8006 
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8007  
iptables -A OUTPUT -t nat -d 127.0.0.1 -p tcp --dport 80 -j REDIRECT --to-ports 8006
iptables -A OUTPUT -t nat -d 127.0.0.1 -p tcp --dport 443 -j REDIRECT --to-ports 8007

Cela fonctionne comme un charme. Cependant, je voudrais créer un autre script qui désactive mon serveur de nouveau; c'est à dire la restauration d'iptables pour l'état où il était avant d'exécuter les lignes ci-dessus. Cependant, je vais avoir un moment difficile de déterminer la syntaxe pour supprimer ces règles. La seule chose qui semble fonctionner est une chasse d'eau complet:

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Mais qui va également supprimer d'autres règles iptables qui est indésirable.

J'ai trouvé qu'il est préférable d'utiliser -I au lieu de -A pour ACCEPT lignes. C'est parce que généralement, la dernière ligne (pour INPUT de la chaîne par exemple) est un DROP ou REJECT et vous voulez que votre règle à venir avant que. -A place la nouvelle règle après la dernière règle, tandis que -I le met au début.

InformationsquelleAutor Jeroen | 2012-04-17

437

Exécuter les mêmes commandes mais de remplacer le "-A" avec l'option "-D". Par exemple:
```
iptables -A ...
```
devient
```
iptables -D ...
```
- Si vous avez plusieurs règles d'un genre, il n'enlève pas tous d'entre eux.
- essayez d'exécuter cette commande-D plusieurs fois, et il va supprimer tous.
- j'ai exécuté la même commande, mais avec -D au lieu de I. Mais j'ai la MAUVAISE RÈGLE (ne concerne une règle de correspondance existe)...
- Si vous avez ajouté une règle avec -I ou -R, vous pouvez toujours le supprimer avec -D.
- Juste une note. J'ai créer une règle avec "iptables-A ..." et la règle est apparu, mais n'a pas été efficace. Lors de l'utilisation de iptables -D ... " la réponse est Mauvaise règle. Même si la règle a été supprimée. La règle a été visible avec 'sudo iptables -nvL'. La chaîne que j'ai utilisé était 'ENTRÉE'.
InformationsquelleAutor Eli Rosencruft
421

Vous pouvez aussi utiliser la règle du nombre (--line-numbers):
```
iptables -L INPUT --line-numbers
```
Exemple de sortie :
```
Chain INPUT (policy ACCEPT) 
    num  target prot opt source destination
    1    ACCEPT     udp  --  anywhere  anywhere             udp dpt:domain 
    2    ACCEPT     tcp  --  anywhere  anywhere             tcp dpt:domain 
    3    ACCEPT     udp  --  anywhere  anywhere             udp dpt:bootps 
    4    ACCEPT     tcp  --  anywhere  anywhere             tcp dpt:bootps
```
Donc, si vous souhaitez supprimer deuxième règle :
```
iptables -D INPUT 2
```
Mise à jour

Si vous utilisez(d) un tableau spécifique (par exemple, nat), vous devez l'ajouter à la commande delete (merci à @ThorSummoner pour le commentaire)
```
sudo iptables -t nat -D PREROUTING 1
```
- J'Aime mieux cela que la solution choisie parce qu'elle donne les numéros de ligne et il est plus facile à utiliser. Merci!
- Les deux solutions sont sympas, mais celui-ci ne fonctionnera pas dans un script de configuration lorsque le numéro de la ligne est inconnue. Donc l'autre solution est plus général, et donc plus correct, de l'OMI.
- Eh bien, si vous ne connaissez pas la ligne, vous pouvez utiliser un commentaire (en réponse parmi) ou de faire un grep pour votre règle : iptables -L INPUT --line-numbers | grep -oP "([0-9]{1,3}).*tcp.*domain" | cut -d" " -f1
- C'est très bien, seulement si la table ne peut pas avoir de règles insérés à n'importe quel point dans le temps. Sinon, les numéros de ligne pourrait changer entre l'observation et de l'exécution de la suppression de la règle. Dans un tel cas, il est dangereux de supposer que la fenêtre de temps est si court qu'il est "peu de chances de se produire".
- +1 travail de, et claire iptables processus
- N'oubliez pas que si vous supprimez une règle, les numéros de ligne du reste de changement. Donc, si vous avez besoin de supprimer la règle 5, 10, et 12... supprimer 12, 10, puis 5.
- Lorsque vous avez créé la règle par vous-même, - il un sens pour le supprimer de la même manière que le choisi la réponse mais quand c'est une règle qui a été créé par quelqu'un d'autre, c'est une façon très agréable.
- Lorsque vous essayez de supprimer PREROUTING règles j'ai eu de spécifier -t nat, par exemple: sudo iptables -t nat --line-numbers -L, et de les supprimer avec -t nat trop, par exemple: sudo iptables -t nat -D PREROUTING 1 (Peut-être intéressant d'ajouter à la réponse?)
- Très bien ficelé réponse. Je viens de faire une question sur iptables aussi, à tout hasard vous pourriez me donner vos idées/sagesse sur elle? stackoverflow.com/questions/43508741/...
- Comment supprimer un gamme de numéros par cette syntaxe?
InformationsquelleAutor domi27
29

La meilleure solution qui fonctionne pour moi sans aucun problème semble de cette façon:

1. Ajouter temporaire à la règle avec certains commentaire:
```
comment=$(cat /proc/sys/kernel/random/uuid | sed 's/\-//g')
iptables -A ..... -m comment --comment "${comment}" -j REQUIRED_ACTION
```
2. Lorsque la règle ajoutée et vous souhaitez le supprimer (ou de tout avec ce commentaire), faites:
```
iptables-save | grep -v "${comment}" | iptables-restore
```
Ainsi, vous aurez 100% de supprimer toutes les règles qui correspondent le commentaire $et laisser les autres lignes intacte. Cette solution fonctionne pour les 2 derniers mois avec environ 100 changements de règles par jour - pas de problèmes.L'espoir, il aide
- Dans le cas où vous n'avez pas iptables-save/restore: iptables -S | grep "${comment}" | sed 's/^-A //' | while read rule; do iptables -D $rule; done
- Pour une vraie vie de utilisation: CRON 1) supprimer les anciens spamhaus iptables interdictions, 2) saisir spamhaus.org/drop, 3) grep pour CIDR IP et iptables -A INPUT -s $ip_cidr -j -m comment --comment "spamhaus"
- Ou iptables -S | sed "/$comment/s/-A/iptables -D/e" 😉 comme ceci
- sed n'abandonnez pas, n'est ce pas? =] Merci, je vais garder cette possibilité à l'esprit (je vais oublier la syntaxe dans une journée).
- sed est simplement utilisé pour enlever le "-" de l'uuid. Dans tous les cas, une fois que vous avez la syntaxe de sed - il ne sera jamais oubliée. ))
- Très soigné solution, merci
InformationsquelleAutor ETech
6

Première liste de toutes les règles iptables avec cette commande:
```
iptables -S
```
il des listes de ce genre:
```
-A XYZ -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
```
Puis copiez la ligne de votre choix, et de remplacer -A avec -D à supprimer:
```
iptables -D XYZ -p ...
```
- Être conscient! C'est incomplète. De manuel à propos de "-S": "Comme tous les autres de la commande iptables, il s'applique à la table spécifiée (filtre par défaut). ". Ainsi, dans le cas de l'utilisation de ce commutateur doit être répétée pour toutes les tables: nat, mangle, etc
- Dans mon cas, j'obtiens iptables: Bad rule (does a matching rule exist in that chain?). Quoi maintenant?
- Ah, compris - ma commande supprimer manquait la table de spécification. Ainsi, dans le cas où vous liste toutes les règles de la table nat avec sudo iptables -S -t nat et vous voulez supprimer un retour de règles, la copie n'est pas assez. Vous devez ajouter -t nat, par exemple sudo iptables -D ... -t nat.
- Facile à comprendre!
InformationsquelleAutor Wladdy Lopez
3

Utilisation -D de commande, c'est comment man page explique:
```
-D, --delete chain rule-specification
-D, --delete chain rulenum
    Delete  one  or more rules from the selected chain.  
    There are two versions of this command: 
    the rule can be specified as a number in the chain (starting at 1 for the first rule) or a rule to match.
```
Faire réaliser cette commande, comme tous les autres de commande(-A, -I) travaille sur la table. Si vous en sont pas à travailler sur la table par défaut(filter table), l'utilisation -t TABLENAME de préciser que la table cible.

Supprimer une règle de correspondance
```
iptables -D INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
```
Remarque: Ceci ne supprime que la première règle de correspondance. Si vous avez beaucoup de règles adapté(ce qui peut arriver dans iptables), exécutez l'opération plusieurs fois.

Supprimer une règle spécifiée comme un nombre
```
iptables -D INPUT 2
```
Autres que de compter le nombre vous pouvez afficher la liste de la ligne numéro --line-number paramètre, par exemple:
```
iptables -t nat -nL --line-number
```
- J'ai trouvé cette avec-ligne-nombre est le meilleur
- Oui! Superbe! Ne veux pas tout iptables -F
InformationsquelleAutor cizixs

Supposons que, si vous souhaitez supprimer des règles de NAT,

Liste ci-annexé IPtables à l'aide de la commande ci-dessous,

# sudo iptables -L -t nat -v

Chain PREROUTING (policy ACCEPT 18 packets, 1382 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    7   420 DNAT       tcp  --  any    any     anywhere             saltmaster           tcp dpt:http to:172.31.5.207:80
    0     0 DNAT       tcp  --  eth0   any     anywhere             anywhere             tcp dpt:http to:172.31.5.207:8080

Si vous souhaitez supprimer la règle de nat IPtables, exécutez simplement la commande,

# sudo iptables -F -t nat -v

Flushing chain `PREROUTING'
Flushing chain `INPUT'
Flushing chain `OUTPUT'
Flushing chain `POSTROUTING'

Ensuite, vous pouvez vérifier que,

# sudo iptables -L -t nat -v

InformationsquelleAutor lakshmikandan

Vous devez vous connecter pour publier un commentaire.

Mise à jour

Supprimer une règle de correspondance

Supprimer une règle spécifiée comme un nombre