如何删除 kube-proxy 添加的 iptables 规则？答案

【问题标题】：How to delete iptables rules added by kube-proxy?如何删除 kube-proxy 添加的 iptables 规则？
【发布时间】：2018-09-05 16:05:11
【问题描述】：

我想手动删除 iptables 规则进行调试。我有几个由 kube-proxy 基于服务 nettools 创建的规则：

# kubectl get endpoints nettools
NAME       ENDPOINTS            AGE
nettools   172.16.27.138:7493   1h

及其iptables规则：

# iptables-save|grep nettools
-A KUBE-SEP-6DFMUWHMXOYMFWKG -s 172.16.27.138/32 -m comment --comment "default/nettools:web" -j KUBE-MARK-MASQ
-A KUBE-SEP-6DFMUWHMXOYMFWKG -p tcp -m comment --comment "default/nettools:web" -m tcp -j DNAT --to-destination 172.16.27.138:7493
-A KUBE-SERVICES -d 10.0.1.2/32 -p tcp -m comment --comment "default/nettools:web cluster IP" -m tcp --dport 7493 -j KUBE-SVC-INDS3KD6I5PFKUWF
-A KUBE-SVC-INDS3KD6I5PFKUWF -m comment --comment "default/nettools:web" -j KUBE-SEP-6DFMUWHMXOYMFWKG

但是，我不能删除那些规则：

# iptables -D  KUBE-SVC-INDS3KD6I5PFKUWF -m comment --comment "default/nettools:web" -j KUBE-SEP-6DFMUWHMXOYMFWKG
iptables v1.4.21: Couldn't load target `KUBE-SEP-6DFMUWHMXOYMFWKG':No such file or directory
# iptables -D KUBE-SERVICES -d 10.0.1.2/32 -p tcp -m comment --comment "default/nettools:web cluster IP" -m tcp --dport 7493 -j KUBE-SVC-INDS3KD6I5PFKUWF
iptables v1.4.21: Couldn't load target `KUBE-SVC-INDS3KD6I5PFKUWF':No such file or directory

【问题讨论】：

这可能会有所帮助：unix.stackexchange.com/a/395271/274945

标签： kubernetes iptables kube-proxy

【解决方案1】：

在处理iptables 时，有多个表在起作用。如果未指定，filter table 是默认值。您尝试删除的规则是nat 表的一部分。

只需将-t nat 添加到您的规则即可删除这些规则。

例子：

# iptables -t nat -D KUBE-SVC-INDS3KD6I5PFKUWF -m comment --comment "default/nettools:web" -j KUBE-SEP-6DFMUWHMXOYMFWKG

【讨论】：