Pb Iptables / Kernel

Bonjour,
Sur un serveur opérationnel depuis des mois, je m’apercois que depuis une semaine, mes iptables ont un souci

root@chewbacca:/var/log# iptables -L
libkmod: ERROR …/libkmod/libkmod.c:554 kmod_search_moddep: could not open moddep file ‘/lib/modules/3.2.58-xenU-11-50785a6-x86_64/modules.dep.bin’
iptables v1.4.14: can’t initialize iptables table `filter’: Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Du coup, je ne filtre plus, et je vais pas tarder à me faire hacker !

Il s’agit d’un hébergement Gandi. Savez vous comment réparer ? sans interrompre le service (ou du moins en minimisant l’interruption) ?

Merci

C’est quel type de serveur ? VPS (quel type) ?
Que donne l’exécution de [mono]depmod[/mono] ?

C’est une hébergement GANDI ou j’achete des parts ? C’est ce qu’on appelle un VPS ?

root@chewbacca:~# depmod
ERROR: could not open directory /lib/modules/3.2.58-xenU-11-50785a6-x86_64: No such file or directory
FATAL: could not search modules: No such file or directory
root@chewbacca:~#

Pourtant j’ai rien touché depuis la mise en ligne qui date de mars 2014 …

Merci

C’est probablement un VPS (serveur virtuel) en effet. Il faut savoir sur quel système de virtualisation il est basé : paravirtualisation (KVM, Xen…), isolation/container (openVZ, LXC…) ? Ne pas se fier au seul nom du noyau, c’est peut-être un container LXC qui tourne dans une machine virtuelle Xen.
Dans le cas des systèmes à isolation, le noyau est commun et les systèmes virtuels ne peuvent pas charger de modules du noyau (d’où l’absence de répertoire /lib/modules/$(uname -r) inutile), seul le système hôte (administré par l’hébergeur) en a le privilège. Je serais quand même extrêmement étonné que les modules nécessaires à iptables ne soient pas chargés ou compilés en dur dans le noyau.

Qu’affichent :

cat /proc/modules cat /proc/net/ip_tables_names

C’est pas fameux :

root@chewbacca:~# cat /proc/modules
root@chewbacca:~# cat /proc/net/ip_tables_names
cat: /proc/net/ip_tables_names: No such file or directory
root@chewbacca:~# cat /proc/net/ip_tables_names
cat: /proc/net/ip_tables_names: No such file or directory
root@chewbacca:~#

J’ai aussi ouvert un incident chez Gandi, mais comme mon serveur est bloqué et qu’on est en plein week end, je pense qu’ils ne vont pas répondrent avant lundi.

Le pb, c’est que je vois que mes iptables ne sont pas appliquées puisqu’en général je bloque le SSH en dehors de mes IP, et la je vois plein de tentative de login ;-(

Merci pour votre aide.

/proc/modules vide -> soit tout est compilé en dur soit aucun module n’est chargé.
/proc/net/ip_tables_names inexistant -> iptables n’est pas actif.
Ou alors l’isolation empêche les systèmes virtuels d’accéder à ces informations.

Pas très grave si sshd n’accepte que l’authentification par clé ou si les mots de passe sont solides.

Oui, mon mot de passe est solide …

J’ai trouvé ca sur internet : forum.ubuntu-fr.org/viewtopic.php?id=1466521

Bizarre, le gars dit que gandi a fait un reboot hard et que tout est reparti …

Y a-t-il des répertoires dans /lib/modules pour des versions de noyau différentes de celui qui est actif ?
Si ton VPS est un domU Xen, alors il te faut installer les modules correspondants à la version du noyau chargée par l’hyperviseur. Regarde le lien dans l’avant-dernier message de la discussion que tu pointes, http://wiki.gandi.net/en/iaas/references/server/kernel_modules.

root@chewbacca:~# ls -l /lib/modules
total 20
drwxr-xr-x 3 root root 4096 Nov 19 2012 2.6.32-xenU-7428-x86_64
drwxr-xr-x 3 root root 4096 Mar 5 2013 3.2.39-xenU-7726-x86_64
drwxr-xr-x 3 root root 4096 Aug 6 2013 3.2.50-xenU-8149-x86_64
drwxr-xr-x 3 root root 4096 Mar 28 16:09 3.2.53-xenU-8869-x86_64
-rw-r----- 1 root root 370 Apr 20 2012 readme

Visiblement il y a les modules de noyaux plus anciens. Il faudrait donc installer ceux du noyau actuel.
Et ce fichier readme, que contient-il ?