substituir uma regra do iptables sem fornecer um número de regra

Aqui está uma maneira próxima o suficiente de fazer o que você está pedindo. iptablestem a opção -C/--check:

-C, --check especificação da regra da cadeia

Verifique se existe uma regra que corresponda à especificação na cadeia selecionada. Este comando usa a mesma lógica que -D para encontrar uma entrada correspondente, mas não altera a configuração existente do iptables e usa seu código de saída para indicar sucesso ou falha.

Então, se por exemplo você tem algum script automático tentando fazer algo assim:

iptables -I FORWARD -s 10.0.3.0/24 -d 10.0.4.0/24 -j ACCEPT

e você não quer poluir suas regras, você pode fazer isso:

iptables -C FORWARD -s 10.0.3.0/24 -d 10.0.4.0/24 -j ACCEPT || \
    iptables -I FORWARD -s 10.0.3.0/24 -d 10.0.4.0/24 -j ACCEPT

que verificará se a regra existe. Se retornar true, nada acontece, se retornar false o shell executará a 2ª iptablesregra. Se isso sempre foi feito assim, você obtém idempotentemente uma vez e apenas uma vez essa regra (mas veja mais tarde sobre o pedido). Você poderia ter usado, -Amas -Ié mais provável que ajude.

Se a posição da regra importa, mas você não sabe exatamente onde ela está atualmente devido a outras alterações, você deve usar uma cadeia definida pelo usuário para fazer essa operação. Dessa forma a regra sempre será chamada na posição do salto:

iptables -N mychain
iptables -A FORWARD -m comment --comment first_rule
iptables -A FORWARD -m comment --comment initially_second -j mychain

iptables -C mychain -s 10.0.3.0/24 -d 10.0.4.0/24 -j ACCEPT || \
    iptables -A mychain -s 10.0.3.0/24 -d 10.0.4.0/24 -j ACCEPT

Dessa forma, se houve uma exceção inserida antes em algum momento:

iptables -I FORWARD 2 -s 10.0.3.10 -d 10.0.4.20 -m comment --comment now_second -j DROP

seu script não irá reinserir a regra antes desta exceção e cancelá-la.