有沒有辦法讓 iptables conntrack 對每個網路介面使用單獨的資料結構?網路命名空間是否會在這裡提供幫助(將每個來賓及其 Tap 設備放在自己的 netns 中,並在該 netns 內執行 ipfilter conntrack),或者它們在幕後共享相同的資料結構嗎?
背景資訊:我正在運行許多 qemu 來賓,其中 ech 來賓在主機上有自己的 Tap 設備用於聯網。對於來賓的防火牆,我在啟用了連線追蹤的主機上使用 iptables(我無法在來賓內部進行防火牆)。然而,單一(非常繁忙的)來賓可能會溢出主機上的 conntrack 表。由於此表在所有來賓(和主機)之間共享,因此這可能會導致整個主機/來賓無法訪問,因為主機開始丟棄資料包/連接。