有什么办法让iptables conntrack为每个networking接口使用单独的数据结构? networking命名空间是否会在这里起作用(把每个客户连同它的tap设备放在自己的netns中,并在那个netns里面做ipfilter conntrack),还是共享相同的数据结构?
背景信息:我正在运行许多qemu客人,在主机上有自己的tap设备用于联网。 对于客人的防火墙,我使用启用连接跟踪的主机上的iptables(我不能在客人内部做防火墙)。 然而,单个(非常繁忙的)访客可能会溢出主机上的conntrack表。 由于该表在所有客户(和主机)之间共享,因此主机/主机开始丢弃数据包/连接可能导致整个主机/客户机不可访问。