Gibt es eine Möglichkeit, iptables conntrack dazu zu bringen, separate Datenstrukturen für jede Netzwerkschnittstelle zu verwenden? Würden Netzwerk-Namespaces hier helfen (jeden Gast zusammen mit seinem Tap-Gerät in sein eigenes Netzwerk setzen und den ipfilter conntrack innerhalb dieses Netzwerks ausführen) oder teilen sie im Hintergrund dieselben Datenstrukturen?
Hintergrundinformationen: Ich betreibe viele QEMU-Gäste, wobei jeder Gast sein eigenes Tap-Gerät auf dem Host für die Vernetzung hat. Zum Schutz der Gäste verwende ich iptables auf dem Host mit aktivierter Verbindungsverfolgung (ich kann die Firewall nicht innerhalb der Gäste durchführen). Ein einzelner (sehr beschäftigter) Gast kann jedoch die Conntrack-Tabelle auf dem Host überlaufen lassen. Da diese Tabelle von allen Gästen (und dem Host) gemeinsam genutzt wird, kann dies dazu führen, dass der gesamte Host/die gesamten Gäste unerreichbar werden, weil der Host beginnt, Pakete/Verbindungen zu verlieren.