amuck-landowner

Packet drops on OpenVZ VM - What might be the reason

Amitz

Amitz

New Member
Dear all,

I have rented a cheap dedicated server just to install Proxmox and to learn some things (just for the fun, no upcoming summer host :lol: ).

Everything works fine so far, I have started up a OpenVZ container which seems to perform great.

But: On the hostnode, I have installed munin and this graph

QeJvTKD.png

makes me wonder whether something may not be right. What could be the reason for those packet drops, how can I investigate this and what would be the right command line tools to do so? Or are those packets dropped by iptables for some (probably good) reason?

I could imagine that many of you are more experienced then I am and I would gladly read your advise!

Kind regards

Amitz
 
Last edited by a moderator:
Amitz

Amitz

New Member
Thanks a lot, Nick!

I have looked into it and am surprised that there is no /proc/sys/net/ipv4/ip_conntrack_max file at all in which I could change any values. Am I supposed to just create it with the given value or is the fact that it is missing already part of the problem?

Kind regards

Amitz
 
Amitz

Amitz

New Member
Flapadar said:
What iptables rules do you have?
Click to expand...
On the hostnode:


Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
on the VM:


Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  62.210.16.7          0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  62.210.16.7          0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  62.210.16.7          0.0.0.0/0            tcp spt:53
ACCEPT     udp  --  62.210.16.7          0.0.0.0/0            udp spt:53
ACCEPT     tcp  --  62.210.16.6          0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  62.210.16.6          0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  62.210.16.6          0.0.0.0/0            tcp spt:53
ACCEPT     udp  --  62.210.16.6          0.0.0.0/0            udp spt:53
LOCALINPUT  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
INVALID    tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:43
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:143
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:465
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:587
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:993
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:995
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:3005
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:20
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:21
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:53
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 limit: avg 1/sec burst 5
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 0 limit: avg 1/sec burst 5
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
LOGDROPIN  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.7          tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.7          udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.7          tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.7          udp spt:53
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.6          tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.6          udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            62.210.16.6          tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            62.210.16.6          udp spt:53
LOCALOUTPUT  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:53
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
INVALID    tcp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:25
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:43
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:110
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:113
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:3005
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:20
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:21
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:113
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:123
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
LOGDROPOUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain ALLOWIN (1 references)
target     prot opt source               destination
ACCEPT     all  --  95.89.0.205          0.0.0.0/0

Chain ALLOWOUT (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            95.89.0.205

Chain DENYIN (1 references)
target     prot opt source               destination

Chain DENYOUT (1 references)
target     prot opt source               destination

Chain INVALID (2 references)
target     prot opt source               destination
INVDROP    all  --  0.0.0.0/0            0.0.0.0/0            state INVALID
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x00
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x3F/0x3F
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x03/0x03
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x06/0x06
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x05/0x05
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x11/0x01
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x18/0x08
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x30/0x20
INVDROP    tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags:! 0x17/0x02 state NEW

Chain INVDROP (10 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain LOCALINPUT (1 references)
target     prot opt source               destination
ALLOWIN    all  --  0.0.0.0/0            0.0.0.0/0
DENYIN     all  --  0.0.0.0/0            0.0.0.0/0

Chain LOCALOUTPUT (1 references)
target     prot opt source               destination
ALLOWOUT   all  --  0.0.0.0/0            0.0.0.0/0
DENYOUT    all  --  0.0.0.0/0            0.0.0.0/0

Chain LOGDROPIN (1 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:68
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:111
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:111
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:113
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:113
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:135:139
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpts:135:139
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:445
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:500
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:500
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:513
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:513
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:520
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:520
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 0 level 4 prefix "Firewall: *TCP_IN Blocked* "
LOG        udp  --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 0 level 4 prefix "Firewall: *UDP_IN Blocked* "
LOG        icmp --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 0 level 4 prefix "Firewall: *ICMP_IN Blocked* "
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain LOGDROPOUT (1 references)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x17/0x02 limit: avg 30/min burst 5 LOG flags 8 level 4 prefix "Firewall: *TCP_OUT Blocked* "
LOG        udp  --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 8 level 4 prefix "Firewall: *UDP_OUT Blocked* "
LOG        icmp --  0.0.0.0/0            0.0.0.0/0            limit: avg 30/min burst 5 LOG flags 8 level 4 prefix "Firewall: *ICMP_OUT Blocked* "
DROP       all  --  0.0.0.0/0            0.0.0.0/0
Thanks for your support & help!


I should add that iptables has always been a complete mystery to me. The VM has csf/lfd installed, by the way.
 
Last edited by a moderator:
F

Flapadar

Member
Verified Provider
Try running iptables -F and stopping csf/lfd in the VM and see if the packet loss continues or disappears. I'd imagine it is caused by your rules. 
 
You must log in or register to reply here.
Top
amuck-landowner