iptables conntrack이 각 네트워크 인터페이스에 대해 별도의 데이터 구조를 사용하도록 하는 방법이 있습니까? 여기서 네트워크 네임스페이스가 도움이 될까요(각 게스트를 탭 장치와 함께 자체 netns에 넣고 해당 netns 내부에서 ipfilter conntrack을 수행함), 아니면 내부적으로 동일한 데이터 구조를 공유합니까?
배경 정보: 네트워킹을 위해 호스트에 자체 탭 장치가 있는 ech 게스트와 함께 많은 qemu 게스트를 실행하고 있습니다. 게스트 방화벽을 위해 연결 추적이 활성화된 호스트에서 iptables를 사용합니다(게스트 내부에서는 방화벽을 수행할 수 없습니다). 그러나 단일(매우 바쁜) 게스트가 호스트의 conntrack 테이블을 오버플로할 수 있습니다. 이 테이블은 모든 게스트(및 호스트) 간에 공유되므로 호스트가 패킷/연결을 삭제하기 시작하므로 전체 호스트/게스트에 연결할 수 없게 될 수 있습니다.