Iptables 内のチェーンを参照するすべてのルールを削除するにはどうすればよいですか?

私は、ネットワークの監視、制御などのために設計した一連のスクリプトを持っています。これらのスクリプトで私が行うことの 1 つは、 のような iptables チェーンを作成することですiptables -N mychain。次に、必要に応じてメイン テーブルにルールを挿入し、パケットをカスタム チェーンに送信して、そこにどのような目的を持たせたいかを決めます。

私の質問は、「更新」を行うスクリプトがあります。言い換えると、すべてのルールを削除して最初からやり直すことです。これは、奇妙な異常が発生した場合に役立ちます。iptables の一部を管理するものがあっても、手動で管理する人が多いです。(これが、すべての作業を別のテーブルで実行したいと思った理由です。)

チェーンをクリアしたい場合、それは簡単ですiptables -F mychain。しかし、私がしない知っている方法は、組み込みチェーン（INPUT、OUTPUT など）でそのチェーンを参照する作成したルールをすべて削除することです。

私のアプリにバグがあったか、ユーザーがいじってテーブルをいじってしまったために、何らかの理由で INPUT チェーンにルールが 2 回追加されたと仮定します。これで、パケットはチェーンを 2 回通過することになります。つまり、2 回カウントされ、2 回ルーティングされるなどです。

この問題の明らかな解決策は、メイン チェーンを調べて、ジャンプ ターゲットがカスタム チェーンであるルールをすべて削除することです。しかし、その方法がわかりません。

以下に、想定される最悪の状況の例を示します。

iptables -N TEST
iptables -A INPUT -j TEST
iptables -I INPUT 1 -p tcp --dport 1234 -j TEST
iptables -I INPUT 1 -p tcp --dport 1234 -j TEST # again, for doubling error
iptables -I INPUT -p icmp -j TEST

悪意のある、または知識のない管理者が最下位の 3 つのルールを作成したと仮定します。

これで、発行するiptables -D INPUT -j TESTと、作成したルールが削除されます。ただし、使用時のパラメータが一致する必要があるため、他のルールは削除されません-D。そのため、自分のルールを慎重に削除したとしても、さまざまな理由でパケットが複数回そこに行き着く可能性があります。

メインチェーンをフラッシュすることは必ずしも適切ではありません。繰り返しますが、コマンドラインでiptablesを使用するのは一般的です（私自身もいつもそうしています）ので、盲目的にクリアするだけでは毎たとえ一時的なルールであっても、誰かが正当な理由で追加したものをルールによって削除できる場合があります。

明らかな解決策は、何らかの方法でどれでもチェーンの宛先となるルールを検索しTEST、それらのルールを削除します。ただし、iptables のマニュアル ページには、これを実行できるコマンドは見つかりませんでした。

私が見た限り、どのユーザーにも当てはまる最も近いものは ですiptables -S。iptables -S出力を解釈するためのパーサーを作成して使用することもできますが、これは少し余分な作業になります。何らかのワイルドカード方式でルールを削除するより正確な方法があるかどうか疑問に思っていました。繰り返しますが、ジャンプ ターゲットが任意のチェーンであるルールをすべて削除します。

削除したいチェーンがあるが、そのチェーンが別の場所に参照を持っている場合、同様の状況が発生する可能性があります。その参照がどこにあるかを把握し、おそらくその参照も削除できるようにしたいでしょう。

これは可能ですか? それとも、出力を解釈するためのパーサーを書かなければならないのでしょうかiptables -S?