¿Hay alguna forma de hacer que iptables conntrack utilice estructuras de datos separadas para cada interfaz de red? ¿Ayudarían aquí los espacios de nombres de red (juntar a cada invitado con su dispositivo tap en sus propias redes y realizar el seguimiento de ipfilter dentro de esas redes), o comparten las mismas estructuras de datos bajo el capó?
Información general: estoy ejecutando muchos invitados qemu y cada invitado tiene su propio dispositivo de toque en el host para establecer redes. Para el firewall de los invitados, uso iptables en el host con el seguimiento de conexión habilitado (no puedo hacer el firewall dentro de los invitados). Sin embargo, un solo invitado (muy ocupado) puede desbordar la tabla de conexión del anfitrión. Como esta tabla se comparte entre todos los invitados (y el anfitrión), esto puede hacer que todo el anfitrión/invitados sea inalcanzable porque el anfitrión comienza a descartar paquetes/conexiones.