Existe alguma maneira de fazer o iptables conntrack usar estruturas de dados separadas para cada interface de rede? Os namespaces de rede ajudariam aqui (colocar cada convidado junto com seu dispositivo de toque em seus próprios netns e fazer o ipfilter conntrack dentro desse netns), ou eles compartilham as mesmas estruturas de dados sob o capô?
Informações básicas: Estou executando muitos convidados qemu com o ech guest tendo seu próprio dispositivo de toque no host para rede. Para o firewall dos convidados eu uso o iptables no host com rastreamento de conexão ativado (não consigo fazer o firewall dentro dos convidados). No entanto, um único convidado (muito ocupado) pode estourar a tabela conntrack no host. Como essa tabela é compartilhada entre todos os convidados (e o host), isso pode tornar todo o host / convidados inacessíveis porque o host começa a eliminar pacotes / conexões.