diff --git a/tools/istio-iptables/pkg/capture/run_test.go b/tools/istio-iptables/pkg/capture/run_test.go
index 2576de9a8a63..b3524133dd6c 100644
--- a/tools/istio-iptables/pkg/capture/run_test.go
+++ b/tools/istio-iptables/pkg/capture/run_test.go
@@ -15,7 +15,6 @@
 package capture
 
 import (
-	"fmt"
 	"net/netip"
 	"path/filepath"
 	"reflect"
@@ -338,45 +337,6 @@ func TestSeparateV4V6(t *testing.T) {
 	}
 }
 
-func TestCleanup(t *testing.T) {
-	cases := []struct {
-		name   string
-		config func(cfg *config.Config)
-	}{
-		{
-			"cleanup-empty",
-			func(cfg *config.Config) {
-				cfg.RestoreFormat = true
-			},
-		},
-		{
-			"cleanup-dns",
-			func(cfg *config.Config) {
-				cfg.RedirectDNS = true
-				cfg.DNSServersV4 = []string{"127.0.0.53"}
-				cfg.DNSServersV6 = []string{"::127.0.0.53"}
-				cfg.ProxyGID = "1,2"
-				cfg.ProxyUID = "3,4"
-				cfg.EnableInboundIPv6 = true
-				cfg.RestoreFormat = false
-			},
-		},
-	}
-	for _, tt := range cases {
-		t.Run(tt.name, func(t *testing.T) {
-			cfg := constructTestConfig()
-			tt.config(cfg)
-
-			ext := &dep.DependenciesStub{}
-			iptConfigurator := NewIptablesConfigurator(cfg, ext)
-			iptConfigurator.Run()
-			for _, cmd := range ext.ExecutedQuietly {
-				fmt.Println(cmd)
-			}
-		})
-	}
-}
-
 func compareToGolden(t *testing.T, name string, actual []string) {
 	t.Helper()
 	gotBytes := []byte(strings.Join(actual, "\n"))
diff --git a/tools/istio-iptables/pkg/capture/testdata/basic-exclude-nic.golden b/tools/istio-iptables/pkg/capture/testdata/basic-exclude-nic.golden
index af4ad26ccff4..c324a75832db 100644
--- a/tools/istio-iptables/pkg/capture/testdata/basic-exclude-nic.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/basic-exclude-nic.golden
@@ -1,3 +1,12 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D OUTPUT -o not-istio-nic -j RETURN
+iptables -t nat -D PREROUTING -i not-istio-nic -j RETURN
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/dns-uid-gid.golden b/tools/istio-iptables/pkg/capture/testdata/dns-uid-gid.golden
index 88bd58e92cae..826646c04b9a 100644
--- a/tools/istio-iptables/pkg/capture/testdata/dns-uid-gid.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/dns-uid-gid.golden
@@ -1,3 +1,51 @@
+iptables -t raw -D PREROUTING -p udp --sport 53 -s 127.0.0.53/32 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 2 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 4 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 3 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j CT --zone 1
+iptables -t nat -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j REDIRECT --to-port 15053
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j RETURN
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
+ip6tables -t raw -D PREROUTING -p udp --sport 53 -s ::127.0.0.53/128 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -d ::127.0.0.53/128 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 2 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 4 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 3 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j CT --zone 1
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -d ::127.0.0.53/128 -j REDIRECT --to-port 15053
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j RETURN
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/drop-invalid.golden b/tools/istio-iptables/pkg/capture/testdata/drop-invalid.golden
index 464e394a8d04..a506a9dc5d84 100644
--- a/tools/istio-iptables/pkg/capture/testdata/drop-invalid.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/drop-invalid.golden
@@ -1,3 +1,11 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t mangle -D PREROUTING -m conntrack --ctstate INVALID -j DROP
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/empty.golden b/tools/istio-iptables/pkg/capture/testdata/empty.golden
index cb98098c5be5..17c37d61657e 100644
--- a/tools/istio-iptables/pkg/capture/testdata/empty.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/empty.golden
@@ -1,3 +1,10 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/host-ipv4-loopback-cidr.golden b/tools/istio-iptables/pkg/capture/testdata/host-ipv4-loopback-cidr.golden
index 02165b567af5..0ca1c4ec17e7 100644
--- a/tools/istio-iptables/pkg/capture/testdata/host-ipv4-loopback-cidr.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/host-ipv4-loopback-cidr.golden
@@ -1,3 +1,10 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/8 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/8 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-include.golden b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-include.golden
index 543e459d2b7d..cbf5a49973bb 100644
--- a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-include.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-include.golden
@@ -1,3 +1,13 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 31000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 32000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-tproxy.golden b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-tproxy.golden
index 2328fad0bbdf..0db0f140827e 100644
--- a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-tproxy.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-tproxy.golden
@@ -1,3 +1,26 @@
+iptables -t mangle -I ISTIO_INBOUND 3 -p tcp -i lo -m mark ! --mark 1338 -j RETURN
+iptables -t mangle -I ISTIO_INBOUND 2 -p tcp -s 127.0.0.6/32 -i lo -j RETURN
+iptables -t mangle -I ISTIO_INBOUND 1 -p tcp -m mark --mark 1337 -j RETURN
+iptables -t mangle -D OUTPUT -p tcp -m connmark --mark 1337 -j CONNMARK --restore-mark
+iptables -t mangle -D OUTPUT ! -d 127.0.0.1/32 -p tcp -o lo -m owner --gid-owner 1337 -j MARK --set-mark 1338
+iptables -t mangle -D OUTPUT ! -d 127.0.0.1/32 -p tcp -o lo -m owner --uid-owner 1337 -j MARK --set-mark 1338
+iptables -t mangle -D OUTPUT -p tcp -o lo -m mark --mark 1337 -j RETURN
+iptables -t mangle -D PREROUTING -p tcp -m mark --mark 1337 -j CONNMARK --save-mark
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t mangle -D ISTIO_INBOUND -p tcp --dport 31000 -j ISTIO_TPROXY
+iptables -t mangle -D ISTIO_INBOUND -p tcp --dport 31000 -m conntrack --ctstate RELATED,ESTABLISHED -j ISTIO_DIVERT
+iptables -t mangle -D ISTIO_INBOUND -p tcp --dport 32000 -j ISTIO_TPROXY
+iptables -t mangle -D ISTIO_INBOUND -p tcp --dport 32000 -m conntrack --ctstate RELATED,ESTABLISHED -j ISTIO_DIVERT
+iptables -t mangle -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t mangle -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t mangle -X ISTIO_TPROXY
+iptables -t mangle -X ISTIO_DIVERT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard-tproxy.golden b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard-tproxy.golden
index a9dfbc059c1a..eab9deabbca6 100644
--- a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard-tproxy.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard-tproxy.golden
@@ -1,3 +1,24 @@
+iptables -t mangle -I ISTIO_INBOUND 3 -p tcp -i lo -m mark ! --mark 1338 -j RETURN
+iptables -t mangle -I ISTIO_INBOUND 2 -p tcp -s 127.0.0.6/32 -i lo -j RETURN
+iptables -t mangle -I ISTIO_INBOUND 1 -p tcp -m mark --mark 1337 -j RETURN
+iptables -t mangle -D OUTPUT -p tcp -m connmark --mark 1337 -j CONNMARK --restore-mark
+iptables -t mangle -D OUTPUT ! -d 127.0.0.1/32 -p tcp -o lo -m owner --gid-owner 1337 -j MARK --set-mark 1338
+iptables -t mangle -D OUTPUT ! -d 127.0.0.1/32 -p tcp -o lo -m owner --uid-owner 1337 -j MARK --set-mark 1338
+iptables -t mangle -D OUTPUT -p tcp -o lo -m mark --mark 1337 -j RETURN
+iptables -t mangle -D PREROUTING -p tcp -m mark --mark 1337 -j CONNMARK --save-mark
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t mangle -D ISTIO_INBOUND -p tcp -j ISTIO_TPROXY
+iptables -t mangle -D ISTIO_INBOUND -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ISTIO_DIVERT
+iptables -t mangle -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t mangle -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t mangle -X ISTIO_TPROXY
+iptables -t mangle -X ISTIO_DIVERT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard.golden b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard.golden
index 07b03002bd16..7cf334b3b5b5 100644
--- a/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/inbound-ports-wildcard.golden
@@ -1,3 +1,12 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D ISTIO_INBOUND -p tcp -j ISTIO_IN_REDIRECT
+iptables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ip-range.golden b/tools/istio-iptables/pkg/capture/testdata/ip-range.golden
index 6223692fb166..d9cf9a3a2021 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ip-range.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ip-range.golden
@@ -1,3 +1,28 @@
+iptables -t raw -D PREROUTING -p udp --sport 53 -s 127.0.0.53/32 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 2 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 4 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 3 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j CT --zone 1
+iptables -t nat -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j REDIRECT --to-port 15053
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j RETURN
+iptables -t nat -D ISTIO_OUTPUT -d 9.9.0.0/16 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipnets-with-kube-virt-interfaces.golden b/tools/istio-iptables/pkg/capture/testdata/ipnets-with-kube-virt-interfaces.golden
index 9c18d0435e67..3bf6f75e8124 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipnets-with-kube-virt-interfaces.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipnets-with-kube-virt-interfaces.golden
@@ -1,3 +1,15 @@
+iptables -t nat -D ISTIO_OUTPUT -d 10.0.0.0/8 -j ISTIO_REDIRECT
+iptables -t nat -I PREROUTING 1 -i eth2 -d 10.0.0.0/8 -j ISTIO_REDIRECT
+iptables -t nat -I PREROUTING 1 -i eth1 -d 10.0.0.0/8 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -I PREROUTING 1 -i eth2 -j RETURN
+iptables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipnets.golden b/tools/istio-iptables/pkg/capture/testdata/ipnets.golden
index 600717611199..132fff906dfd 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipnets.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipnets.golden
@@ -1,3 +1,11 @@
+iptables -t nat -D ISTIO_OUTPUT -d 10.0.0.0/8 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups-exclude.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups-exclude.golden
index 92cfe370a80e..f749de6153ce 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups-exclude.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups-exclude.golden
@@ -1,3 +1,33 @@
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1337 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 1337 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j CT --zone 1
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner ftp -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 888 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j RETURN
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1337 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 1337 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j CT --zone 1
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner ftp -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 888 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j RETURN
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups.golden
index 25a94f5d52d0..bfb997be2da8 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-outbound-owner-groups.golden
@@ -1,3 +1,31 @@
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1337 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 1337 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j CT --zone 1
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner ! --gid-owner java -m owner ! --gid-owner 202 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j RETURN
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1337 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 1337 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j CT --zone 1
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner ! --gid-owner java -m owner ! --gid-owner 202 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j RETURN
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-uid-gid.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-uid-gid.golden
index 7a04ac47bd44..0370b0e4b5e3 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-uid-gid.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-dns-uid-gid.golden
@@ -1,3 +1,45 @@
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 2 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 4 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 3 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j CT --zone 1
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j RETURN
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 2 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 4 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 3 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j CT --zone 1
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j RETURN
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-empty-inbound-ports.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-empty-inbound-ports.golden
index 339a4d35ea8e..51f476740c20 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-empty-inbound-ports.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-empty-inbound-ports.golden
@@ -1,3 +1,17 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-inbound-ports.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-inbound-ports.golden
index 41973fffcecb..832439534c0d 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-inbound-ports.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-inbound-ports.golden
@@ -1,3 +1,23 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_INBOUND
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-ipnets.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-ipnets.golden
index 16380e394f67..bd0b1f7b6728 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-ipnets.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-ipnets.golden
@@ -1,3 +1,30 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+iptables -t nat -I PREROUTING 1 -i eth0 -j RETURN
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -d 2001:db8::/32 -j ISTIO_REDIRECT
+ip6tables -t nat -I PREROUTING 1 -i eth1 -d 2001:db8::/32 -j ISTIO_REDIRECT
+ip6tables -t nat -I PREROUTING 1 -i eth0 -d 2001:db8::/32 -j ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+ip6tables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+ip6tables -t nat -I PREROUTING 1 -i eth0 -j RETURN
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_INBOUND
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-outbound-ports.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-outbound-ports.golden
index ce134c42b349..7ea3eb3e777a 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-outbound-ports.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-outbound-ports.golden
@@ -1,3 +1,21 @@
+iptables -t nat -D ISTIO_OUTPUT -p tcp --dport 31000 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -p tcp --dport 32000 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
+ip6tables -t nat -D ISTIO_OUTPUT -p tcp --dport 31000 -j ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -p tcp --dport 32000 -j ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-uid-gid.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-uid-gid.golden
index 132ad7b3e5a9..56625988f208 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-uid-gid.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-uid-gid.golden
@@ -1,3 +1,34 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+iptables -t nat -I PREROUTING 1 -i eth0 -j RETURN
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -d 2001:db8::/32 -j ISTIO_REDIRECT
+ip6tables -t nat -I PREROUTING 1 -i eth1 -d 2001:db8::/32 -j ISTIO_REDIRECT
+ip6tables -t nat -I PREROUTING 1 -i eth0 -d 2001:db8::/32 -j ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+ip6tables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+ip6tables -t nat -I PREROUTING 1 -i eth0 -j RETURN
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_INBOUND
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/ipv6-virt-interfaces.golden b/tools/istio-iptables/pkg/capture/testdata/ipv6-virt-interfaces.golden
index 1ee7c1b37d65..4d5b8a244156 100644
--- a/tools/istio-iptables/pkg/capture/testdata/ipv6-virt-interfaces.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/ipv6-virt-interfaces.golden
@@ -1,3 +1,27 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+iptables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+iptables -t nat -I PREROUTING 1 -i eth0 -j RETURN
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 5000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_INBOUND -p tcp --dport 4000 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D PREROUTING -p tcp -j ISTIO_INBOUND
+ip6tables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+ip6tables -t nat -I PREROUTING 1 -i eth0 -j RETURN
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t nat -X ISTIO_INBOUND
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/kube-virt-interfaces.golden b/tools/istio-iptables/pkg/capture/testdata/kube-virt-interfaces.golden
index 1d9479916e69..22d7bf94f9c4 100644
--- a/tools/istio-iptables/pkg/capture/testdata/kube-virt-interfaces.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/kube-virt-interfaces.golden
@@ -1,3 +1,15 @@
+iptables -t nat -I PREROUTING 1 -i eth2 -j ISTIO_REDIRECT
+iptables -t nat -I PREROUTING 1 -i eth1 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -I PREROUTING 1 -i eth2 -j RETURN
+iptables -t nat -I PREROUTING 1 -i eth1 -j RETURN
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/logging.golden b/tools/istio-iptables/pkg/capture/testdata/logging.golden
index 7eee5e195471..cb8ffbcd2b2f 100644
--- a/tools/istio-iptables/pkg/capture/testdata/logging.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/logging.golden
@@ -1,3 +1,11 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -D OUTPUT -p tcp -j NFLOG --nflog-prefix "JumpOutbound" --nflog-group 1337 --nflog-size 20
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/loopback-outbound-iprange.golden b/tools/istio-iptables/pkg/capture/testdata/loopback-outbound-iprange.golden
index 3e65e9497a9d..c856024c1b28 100644
--- a/tools/istio-iptables/pkg/capture/testdata/loopback-outbound-iprange.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/loopback-outbound-iprange.golden
@@ -1,3 +1,28 @@
+iptables -t raw -D PREROUTING -p udp --sport 53 -s 127.0.0.53/32 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 2 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 4 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 3 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j CT --zone 1
+iptables -t nat -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j REDIRECT --to-port 15053
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 2 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 4 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 3 -j RETURN
+iptables -t nat -D ISTIO_OUTPUT -d 127.1.2.3/32 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 2 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 4 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 3 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups-exclude.golden b/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups-exclude.golden
index cce999014494..0d7f38d9fc18 100644
--- a/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups-exclude.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups-exclude.golden
@@ -1,3 +1,10 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups.golden b/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups.golden
index 2aa480124321..e44b4a49dc68 100644
--- a/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/outbound-owner-groups.golden
@@ -1,3 +1,10 @@
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/outbound-ports-include.golden b/tools/istio-iptables/pkg/capture/testdata/outbound-ports-include.golden
index 9f37fc7ae73b..f3d0daa5c1e2 100644
--- a/tools/istio-iptables/pkg/capture/testdata/outbound-ports-include.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/outbound-ports-include.golden
@@ -1,3 +1,12 @@
+iptables -t nat -D ISTIO_OUTPUT -p tcp --dport 31000 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -p tcp --dport 32000 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT
diff --git a/tools/istio-iptables/pkg/capture/testdata/tproxy.golden b/tools/istio-iptables/pkg/capture/testdata/tproxy.golden
index 0427e0acc76d..ea185edbb3b4 100644
--- a/tools/istio-iptables/pkg/capture/testdata/tproxy.golden
+++ b/tools/istio-iptables/pkg/capture/testdata/tproxy.golden
@@ -1,3 +1,69 @@
+iptables -t mangle -I ISTIO_INBOUND 3 -p tcp -i lo -m mark ! --mark 1338 -j RETURN
+iptables -t mangle -I ISTIO_INBOUND 2 -p tcp -s 127.0.0.6/32 -i lo -j RETURN
+iptables -t mangle -I ISTIO_INBOUND 1 -p tcp -m mark --mark 1337 -j RETURN
+iptables -t mangle -D OUTPUT -p tcp -m connmark --mark 1337 -j CONNMARK --restore-mark
+iptables -t mangle -D OUTPUT ! -d 127.0.0.1/32 -p tcp -o lo -m owner --gid-owner 1337 -j MARK --set-mark 1338
+iptables -t mangle -D OUTPUT ! -d 127.0.0.1/32 -p tcp -o lo -m owner --uid-owner 1337 -j MARK --set-mark 1338
+iptables -t mangle -D OUTPUT -p tcp -o lo -m mark --mark 1337 -j RETURN
+iptables -t mangle -D PREROUTING -p tcp -m mark --mark 1337 -j CONNMARK --save-mark
+iptables -t raw -D PREROUTING -p udp --sport 53 -s 127.0.0.53/32 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1337 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j CT --zone 1
+iptables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 1337 -j CT --zone 2
+iptables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j CT --zone 1
+iptables -t nat -D OUTPUT -p udp --dport 53 -d 127.0.0.53/32 -j REDIRECT --to-port 15053
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j RETURN
+iptables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j RETURN
+iptables -t nat -D ISTIO_OUTPUT -d 9.9.0.0/16 -j ISTIO_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+iptables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+iptables -t mangle -D ISTIO_INBOUND -p tcp -j ISTIO_TPROXY
+iptables -t mangle -D ISTIO_INBOUND -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ISTIO_DIVERT
+iptables -t mangle -D PREROUTING -p tcp -j ISTIO_INBOUND
+iptables -t mangle -D OUTPUT -o not-istio-nic -j RETURN
+iptables -t mangle -D PREROUTING -i not-istio-nic -j RETURN
+iptables -t nat -D OUTPUT -o not-istio-nic -j RETURN
+iptables -t nat -D PREROUTING -i not-istio-nic -j RETURN
+iptables -t mangle -X ISTIO_INBOUND
+iptables -t nat -X ISTIO_OUTPUT
+iptables -t mangle -X ISTIO_TPROXY
+iptables -t mangle -X ISTIO_DIVERT
+iptables -t nat -X ISTIO_IN_REDIRECT
+iptables -t nat -X ISTIO_REDIRECT
+iptables -t nat -X ISTIO_INBOUND
+ip6tables -t mangle -I ISTIO_INBOUND 3 -p tcp -i lo -m mark ! --mark 1338 -j RETURN
+ip6tables -t mangle -I ISTIO_INBOUND 2 -p tcp -s ::6/128 -i lo -j RETURN
+ip6tables -t mangle -I ISTIO_INBOUND 1 -p tcp -m mark --mark 1337 -j RETURN
+ip6tables -t mangle -D OUTPUT -p tcp -m connmark --mark 1337 -j CONNMARK --restore-mark
+ip6tables -t mangle -D OUTPUT ! -d ::1/128 -p tcp -o lo -m owner --gid-owner 1337 -j MARK --set-mark 1338
+ip6tables -t mangle -D OUTPUT ! -d ::1/128 -p tcp -o lo -m owner --uid-owner 1337 -j MARK --set-mark 1338
+ip6tables -t mangle -D OUTPUT -p tcp -o lo -m mark --mark 1337 -j RETURN
+ip6tables -t mangle -D PREROUTING -p tcp -m mark --mark 1337 -j CONNMARK --save-mark
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --gid-owner 1337 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j CT --zone 1
+ip6tables -t raw -D OUTPUT -p udp --sport 15053 -m owner --uid-owner 1337 -j CT --zone 2
+ip6tables -t raw -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j CT --zone 1
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --gid-owner 1337 -j RETURN
+ip6tables -t nat -D OUTPUT -p udp --dport 53 -m owner --uid-owner 1337 -j RETURN
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp ! --dport 15008 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D ISTIO_OUTPUT -o lo ! -d ::1/128 -p tcp -m multiport ! --dports 53,15008 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
+ip6tables -t nat -D OUTPUT -p tcp -j ISTIO_OUTPUT
+ip6tables -t mangle -D ISTIO_INBOUND -p tcp -j ISTIO_TPROXY
+ip6tables -t mangle -D ISTIO_INBOUND -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ISTIO_DIVERT
+ip6tables -t mangle -D PREROUTING -p tcp -j ISTIO_INBOUND
+ip6tables -t mangle -D OUTPUT -o not-istio-nic -j RETURN
+ip6tables -t mangle -D PREROUTING -i not-istio-nic -j RETURN
+ip6tables -t nat -D OUTPUT -o not-istio-nic -j RETURN
+ip6tables -t nat -D PREROUTING -i not-istio-nic -j RETURN
+ip6tables -t mangle -X ISTIO_INBOUND
+ip6tables -t nat -X ISTIO_OUTPUT
+ip6tables -t mangle -X ISTIO_TPROXY
+ip6tables -t mangle -X ISTIO_DIVERT
+ip6tables -t nat -X ISTIO_IN_REDIRECT
+ip6tables -t nat -X ISTIO_REDIRECT
+ip6tables -t nat -X ISTIO_INBOUND
 iptables -t nat -N ISTIO_INBOUND
 iptables -t nat -N ISTIO_REDIRECT
 iptables -t nat -N ISTIO_IN_REDIRECT