docs-xml/smbdotconf/base/bindinterfacesonly.xml

   1 <samba:parameter name="bind interfaces only"
   2                                 type="boolean"
   3                  context="G"
   4                  advanced="1" wizard="1" developer="1"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7         <para>This global parameter allows the Samba admin
   8         to limit what interfaces on a machine will serve SMB requests. It
   9         affects file service <citerefentry><refentrytitle>smbd</refentrytitle>
  10         <manvolnum>8</manvolnum></citerefentry> and name service <citerefentry><refentrytitle>nmbd</refentrytitle>
  11         <manvolnum>8</manvolnum></citerefentry> in a slightly different ways.</para>
  12
  13         <para>
  14         For name service it causes <command moreinfo="none">nmbd</command> to bind to ports 137 and 138 on the
  15         interfaces listed in the <smbconfoption name="interfaces"/> parameter. <command moreinfo="none">nmbd</command>
  16         also binds to the &quot;all addresses&quot; interface (0.0.0.0) on ports 137 and 138 for the purposes of
  17         reading broadcast messages.  If this option is not set then <command moreinfo="none">nmbd</command> will
  18         service name requests on all of these sockets. If <smbconfoption name="bind interfaces only"/> is set then
  19          <command moreinfo="none">nmbd</command> will check the source address of any packets coming in on the
  20         broadcast sockets and discard any that don't match the broadcast addresses of the interfaces in the
  21         <smbconfoption name="interfaces"/> parameter list.  As unicast packets are received on the other sockets it
  22         allows <command moreinfo="none">nmbd</command> to refuse to serve names to machines that send packets that
  23         arrive through any interfaces not listed in the <smbconfoption name="interfaces"/> list.  IP Source address
  24         spoofing does defeat this simple check, however, so it must not be used seriously as a security feature for
  25          <command moreinfo="none">nmbd</command>.
  26         </para>
  27
  28         <para>
  29         For file service it causes <citerefentry><refentrytitle>smbd</refentrytitle>
  30         <manvolnum>8</manvolnum></citerefentry> to bind only to the interface list given in the <smbconfoption
  31         name="interfaces"/> parameter. This restricts the networks that <command moreinfo="none">smbd</command> will
  32         serve, to packets coming in on those interfaces.  Note that you should not use this parameter for machines that
  33         are serving PPP or other intermittent or non-broadcast network interfaces as it will not cope with
  34         non-permanent interfaces.
  35         </para>
  36
  37         <para>
  38         If <smbconfoption name="bind interfaces only"/> is set and the network address
  39          <emphasis>127.0.0.1</emphasis> is not added to the <smbconfoption name="interfaces"/> parameter list
  40          <citerefentry><refentrytitle>smbpasswd</refentrytitle> <manvolnum>8</manvolnum></citerefentry> and
  41          <citerefentry><refentrytitle>swat</refentrytitle> <manvolnum>8</manvolnum></citerefentry> may not work as
  42         expected due to the reasons covered below.
  43         </para>
  44
  45         <para>
  46         To change a users SMB password, the <command moreinfo="none">smbpasswd</command> by default connects to the
  47          <emphasis>localhost - 127.0.0.1</emphasis> address as an SMB client to issue the password change request. If
  48         <smbconfoption name="bind interfaces only"/> is set then unless the network address
  49          <emphasis>127.0.0.1</emphasis> is added to the <smbconfoption name="interfaces"/> parameter list then <command
  50         moreinfo="none"> smbpasswd</command> will fail to connect in it's default mode.  <command
  51         moreinfo="none">smbpasswd</command> can be forced to use the primary IP interface of the local host by using
  52         its <citerefentry><refentrytitle>smbpasswd</refentrytitle> <manvolnum>8</manvolnum></citerefentry>      <parameter
  53         moreinfo="none">-r <replaceable>remote machine</replaceable></parameter> parameter, with <replaceable>remote
  54         machine</replaceable> set to the IP name of the primary interface of the local host.
  55         </para>
  56
  57         <para>
  58         The <command moreinfo="none">swat</command> status page tries to connect with <command
  59         moreinfo="none">smbd</command> and <command moreinfo="none">nmbd</command> at the address
  60         <emphasis>127.0.0.1</emphasis> to determine if they are running.  Not adding <emphasis>127.0.0.1</emphasis>
  61         will cause <command moreinfo="none"> smbd</command> and <command moreinfo="none">nmbd</command> to always show
  62         &quot;not running&quot; even if they really are.  This can prevent <command moreinfo="none"> swat</command>
  63         from starting/stopping/restarting <command moreinfo="none">smbd</command> and <command
  64         moreinfo="none">nmbd</command>.
  65         </para>
  66
  67 </description>
  68 <value type="default">no</value>
  69 </samba:parameter>