Есть ли способ заставить iptables conntrack использовать отдельные структуры данных для каждого сетевого интерфейса? Помогут ли здесь сетевые пространства имен (поместить каждого гостя вместе с его устройством tap в его собственный netns и выполнить ipfilter conntrack внутри этого netns), или они разделяют одни и те же структуры данных под капотом?
Дополнительная информация: Я запускаю много гостей qemu, и у каждого гостя есть свое устройство tap на хосте для работы в сети. Для брандмауэра гостей я использую iptables на хосте с включенным отслеживанием подключений (я не могу выполнять брандмауэр внутри гостей). Однако один (очень занятый) гость может переполнить таблицу conntrack на хосте. Поскольку эта таблица является общей для всех гостей (и хоста), это может сделать весь хост/гостей недоступными, поскольку хост начнет терять пакеты/подключения.