# Packet drops on OpenVZ VM - What might be the reason



## Amitz (May 22, 2014)

Dear all,

I have rented a cheap dedicated server just to install Proxmox and to learn some things (just for the fun, no upcoming summer host :lol: ).

Everything works fine so far, I have started up a OpenVZ container which seems to perform great.

But: On the hostnode, I have installed munin and this graph



makes me wonder whether something may not be right. What could be the reason for those packet drops, how can I investigate this and what would be the right command line tools to do so? Or are those packets dropped by iptables for some (probably good) reason?

I could imagine that many of you are more experienced then I am and I would gladly read your advise!

Kind regards

Amitz


----------



## DaringHost (May 22, 2014)

Sounds you could be running into the "ip_conntrack: table full, dropping packet" issue. Try the following: http://myopensourcestints.blogspot.com/2012/03/ipconntrack-table-full-dropping-packet.html


----------



## Flapadar (May 22, 2014)

DaringHost said:


> Sounds you could be running into the "ip_conntrack: table full, dropping packet" issue. Try the following: http://myopensourcestints.blogspot.com/2012/03/ipconntrack-table-full-dropping-packet.html


Conntrack is disabled by default on ve0 in openvz now. It's unlikely that.

What iptables rules do you have?


----------



## Amitz (May 22, 2014)

Thanks a lot, Nick!

I have looked into it and am surprised that there is no /proc/sys/net/ipv4/ip_conntrack_max file at all in which I could change any values. Am I supposed to just create it with the given value or is the fact that it is missing already part of the problem?

Kind regards

Amitz


----------



## Amitz (May 22, 2014)

Flapadar said:


> What iptables rules do you have?


On the hostnode:


Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
on the VM:


Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  62.210.16.7          0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  62.210.16.7          0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  62.210.16.7          0.0.0.0/0            tcp spt:53
ACCEPT     udp  --  62.210.16.7          0.0.0.0/0            udp spt:53
ACCEPT     tcp  --  62.210.16.6          0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  62.210.16.6          0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  62.210.16.6          0.0.0.0/0            tcp spt:53
ACCEPT     udp  --  62.210.16.6          0.0.0.0/0            udp spt:53
LOCALINPUT  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
INVALID    tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:43
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:465
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:587
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:993
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:3005
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:20
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:21
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:53
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 limit: avg 1/sec burst 5
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 0 limit: avg 1/sec burst 5
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
LOGDROPIN  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.7          tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.7          udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.7          tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.7          udp spt:53
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.6          tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.6          udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.6          tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.6          udp spt:53
LOCALOUTPUT  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:53
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
INVALID    tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:43
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:113
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:3005
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:20
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:21
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:113
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:123
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
LOGDROPOUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain ALLOWIN (1 references)
target     prot opt source               destination
ACCEPT     all  --  95.89.0.205          0.0.0.0/0

Chain ALLOWOUT (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            95.89.0.205

Chain DENYIN (1 references)
target     prot opt source               destination

Chain DENYOUT (1 references)
target     prot opt source               destination

Chain INVALID (2 references)
target     prot opt source               destination
INVDROP    all  --  0.0.0.0/0            0.0.0.0/0            state INVALID
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x00
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x3F
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x03/0x03
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x06/0x06
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x05/0x05
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x11/0x01
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x18/0x08
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x30/0x20
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags:! 0x17/0x02 state NEW

Chain INVDROP (10 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain LOCALINPUT (1 references)
target     prot opt source               destination
ALLOWIN    all  --  0.0.0.0/0            0.0.0.0/0
DENYIN     all  --  0.0.0.0/0            0.0.0.0/0

Chain LOCALOUTPUT (1 references)
target     prot opt source               destination
ALLOWOUT   all  --  0.0.0.0/0            0.0.0.0/0
DENYOUT    all  --  0.0.0.0/0            0.0.0.0/0

Chain LOGDROPIN (1 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:68
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:111
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:111
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:113
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:113
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:135:139
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpts:135:139
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:445
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:500
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:500
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:513
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:513
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:520
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:520
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 0 level 4 prefix "Firewall: *TCP_IN Blocked* "
LOG        udp  --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 0 level 4 prefix "Firewall: *UDP_IN Blocked* "
LOG        icmp --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 0 level 4 prefix "Firewall: *ICMP_IN Blocked* "
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain LOGDROPOUT (1 references)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x17/0x02 limit: avg 30/min burst 5 LOG flags 8 level 4 prefix "Firewall: *TCP_OUT Blocked* "
LOG        udp  --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 8 level 4 prefix "Firewall: *UDP_OUT Blocked* "
LOG        icmp --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 8 level 4 prefix "Firewall: *ICMP_OUT Blocked* "
DROP       all  --  0.0.0.0/0            0.0.0.0/0
Thanks for your support & help!


I should add that iptables has always been a complete mystery to me. The VM has csf/lfd installed, by the way.


----------



## Flapadar (May 23, 2014)

Try running iptables -F and stopping csf/lfd in the VM and see if the packet loss continues or disappears. I'd imagine it is caused by your rules.


----------

