iptables conntrack が各ネットワーク インターフェイスに対して別々のデータ構造を使用するようにする方法はありますか? この場合、ネットワーク名前空間が役立ちますか (各ゲストをそのタップ デバイスとともに独自の netns に配置し、その netns 内で ipfilter conntrack を実行します)、それとも内部的に同じデータ構造を共有していますか?
背景情報: 私は多数の qemu ゲストを実行しており、各ゲストはネットワーク用にホスト上に独自のタップ デバイスを持っています。ゲストのファイアウォールには、接続追跡を有効にしたホストで iptables を使用します (ゲスト内でファイアウォールを行うことはできません)。ただし、1 つの (非常にビジーな) ゲストがホスト上の conntrack テーブルをオーバーフローさせる可能性があります。このテーブルはすべてのゲスト (およびホスト) で共有されるため、ホストがパケット/接続をドロップし始め、ホスト全体/ゲストがアクセス不能になる可能性があります。