A solução é fornecida aqui .
Eu tenho uma tarefa semelhante - para excluir entradas específicas do conntrack relacionadas a conexões UDP para um host de Internet específico e ser SNAT'ed, então criei o seguinte script:
#!/bin/sh
set -e -u
HUB=AAA.BBB.CCC.DDD # target host's IP address
value()
{
echo ${1#*=}
}
/usr/sbin/conntrack -L conntrack -p udp -d $HUB |
while read proto _ _ src dst sport dport _; do
/usr/sbin/conntrack -D conntrack \
--proto 'value $proto' \
--orig-src 'value $src' \
--orig-dst 'value $dst' \
--sport 'value $sport' \
--dport 'value $dport'
done