Existe alguma maneira de fazer com que o iptables conntrack use estruturas de dados separadas para cada interface de rede? Os namespaces de rede ajudariam aqui (colocar cada convidado junto com seu dispositivo de toque em suas próprias redes e fazer o ipfilter conntrack dentro dessas redes) ou eles compartilham as mesmas estruturas de dados nos bastidores?
Informações básicas: estou executando muitos convidados qemu com cada convidado tendo seu próprio dispositivo de toque no host para rede. Para firewall dos convidados eu uso iptables no host com rastreamento de conexão habilitado (não consigo fazer firewall dentro dos convidados). No entanto, um único convidado (muito ocupado) pode estourar a tabela conntrack no host. Como esta tabela é compartilhada entre todos os convidados (e o host), isso pode tornar todo o host/convidados inacessível porque o host começa a descartar pacotes/conexões.