A função -C só funciona com correspondências exatas em relação às regras.
Ou seja, se a regra que adicionei for iptables -A INPUT -i eth0 -p tcp --dport 22 -m comment "DropSSH" -j DROP , iptables -C INPUT -i eth0 -p tcp --dport 22 -m comment "DropSSH" -j DROP será igual e -C não será eliminado. No entanto, não existe uma correspondência exata para iptables -C INPUT -i eth0 -p tcp --dport 22 -j DROP , por isso não irá falhar.
A única maneira de realmente ver se uma especificação como a que você está procurando existe e levando em conta que as correspondências parciais de regras seriam parciais em grep de filtragem.
Tal que:
iptables -S INPUT | grep -i '-p tcp' | grep -i '--dport 22' | grep -i '-j DROP'
provavelmente corresponderia a qualquer regra que permitisse a porta 22 sobre TCP. No entanto, como você pode ver, isso não é trivial e pode causar problemas. cut dos dados também não ajuda muito. A parte complicada disso é que você precisa dividir o que está procurando em bits individuais para fazer o grep .
A outra alternativa para adicionar os carimbos de data / hora nos comentários é controlar as regras iptables da versão para que, toda vez que você atualizar e salvar as regras, atualize cópias controladas da versão dos conjuntos de regras com revisões individuais para que você possa ver o que foi alterado em excesso. E por não ter timestamps nos comentários, você pode usar corretamente -C e, se precisar ver quem fez uma alteração, poderá voltar aos dados de controle de versão para ver quem fez a alteração quando .