有没有办法让 iptables conntrack 为每个网络接口使用单独的数据结构?网络命名空间在这里会有帮助吗(将每个客户机与其 Tap 设备放在自己的 netns 中,并在该 netns 内执行 ipfilter conntrack),还是它们在后台共享相同的数据结构?
背景信息:我正在运行许多 qemu 客户机,每个客户机在主机上都有自己的 Tap 设备用于联网。为了给客户机设置防火墙,我在主机上使用 iptables 并启用了连接跟踪(我无法在客户机内部设置防火墙)。但是,单个(非常繁忙的)客户机可能会溢出主机上的 conntrack 表。由于此表在所有客户机(和主机)之间共享,这可能会导致整个主机/客户机无法访问,因为主机开始丢弃数据包/连接。