Есть ли способ заставить iptables conntrack использовать отдельные структуры данных для каждого сетевого интерфейса? Помогут ли здесь сетевые пространства имен (поместите каждого гостя вместе с его устройством подключения в его собственный netns и выполните conntrack ipfilter внутри этого netns), или они используют одни и те же структуры данных под капотом?
Справочная информация: я запускаю много гостей qemu, у ech guest есть собственное устройство для подключения к хосту для работы в сети. Для брандмауэра гостей я использую iptables на хосте с включенным отслеживанием соединений (я не могу использовать брандмауэр внутри гостей). Однако один (очень занятый) гость может переполнить таблицу conntrack на хосте. Поскольку эта таблица является общей для всех гостей (и хоста), это может сделать весь хост / гостей недоступным, поскольку хост начинает отбрасывать пакеты / соединения.