Сетевые порты
Таблица сетевых портов Принтум
Описание
Перечень портов TCP/IP, необходимых для работы всех компонентов Принтум в любой схеме установки. Дополнительно все используемые внешние ресурсы (базы данных ClickHouse, PostgreSQL, домены, NFS) должны иметь открытые порты для подключения серверов Принтум к ним.
Не используйте адреса из пула 10.28.32.0/26 — они зарезервированы внутренней сетью Принтум.
Основные порты
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
80 |
TCP / HTTP | К серверу, от пользовательских АРМ | Личный кабинет (нешифрованное подключение) |
443 |
TCP / HTTPS | К серверу, от пользовательских АРМ | Личный кабинет (шифрованное подключение) |
80 |
TCP / HTTP | К принтерам и МФУ, от сервера | Настройка и установка встроенных приложений на МФУ |
443 |
TCP / HTTPS | К принтерам и МФУ, от сервера | Настройка и установка встроенных приложений на МФУ (шифрованное) |
8000 |
TCP / HTTP | К серверу Мониторинга, от АРМ и от ПринтМенеджера | Панель администрирования Мониторинга; синхронизация между компонентами |
8001 |
TCP / HTTPS | К серверу Мониторинга, от АРМ и от ПринтМенеджера | Панель администрирования Мониторинга (шифрованное); синхронизация между компонентами |
8010 |
TCP / HTTP | К серверу ПринтМенеджера, от АРМ, МФУ и Мониторинга | Панель администрирования ПринтМенеджера; синхронизация между компонентами |
8080 |
TCP / HTTPS | К серверу ПринтМенеджера, от АРМ, МФУ и Мониторинга | Панель администрирования ПринтМенеджера (шифрованное); синхронизация между компонентами |
1631 |
TCP / IPP | К серверу, от пользовательских АРМ | CUPS в ПринтМенеджере; отправка на прямой печати |
161, 162 |
UDP / SNMP | К принтерам и МФУ, от сервера (в обе стороны) | Сетевой агент мониторинга; настройка встроенных приложений |
22 |
TCP / SSH | К серверу, от АРМ администратора | Удалённая настройка, установка, обновление системы |
25 |
TCP / SMTP | К почтовому серверу, от сервера | Отправка писем и уведомлений |
993 |
TCP / IMAP | К почтовому серверу, от сервера | Постановка документов в очередь печати через почтовый ящик |
FTP (доставка сканов)
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
20, 21 |
TCP / FTP | К серверу, от МФУ | Инициация FTP-соединения и передача данных в активном режиме; доставка заданий сканирования |
30000–30199 |
TCP / FTP пассивный | К серверу, от МФУ | Передача данных по FTP в пассивном режиме; доставка заданий сканирования |
Порты взаимодействия с МФУ
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
631 |
TCP / IPP | К МФУ, от сервера | Взаимодействие сервера управления печатью и МФУ |
9100 |
TCP / RAW | К МФУ, от сервера | Взаимодействие сервера управления печатью и МФУ |
8090 |
TCP / HTTP | Внутрисерверное | Прямое скачивание файлов из CUPS (нешифрованное) |
8091 |
TCP / HTTPS | Внутрисерверное | Прямое скачивание файлов из CUPS (шифрованное) |
7776, 7777 |
TCP | К серверу, от TCP-конвертеров | При использовании TCP-конвертера; авторизация встроенных приложений на МФУ |
Специфичные порты по вендорам МФУ
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
57627 |
TCP | К МФУ, от сервера | Встроенные приложения МФУ HP |
7627 |
TCP / SOAP | К МФУ, от сервера | Встроенные приложения МФУ HP (SOAP через HTTP) |
50003 |
TCP | К МФУ, от сервера | Встроенные приложения МФУ Konica Minolta |
50443 |
TCP | К МФУ, от сервера | Встроенные приложения МФУ Konica Minolta |
Кластерная конфигурация
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
6379, 26379 |
TCP | Между серверами Принтум | Кластер Redis Sentinel |
7000 |
TCP / HTTPS | К серверу с балансировщиком | Техническая панель HAProxy для администратора |
Вспомогательные и syslog
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
514, 1514, 1468 |
TCP / UDP | От сервера Мониторинга к syslog-серверу | Выгрузка событий журнала ИБ в syslog |
32768–60999 |
TCP (эфемерные) | От серверов Принтум к внешним компонентам | Динамические порты для исходящих соединений (инициатор соединения) |
| — | ICMP | В любых направлениях | Ping и диагностика |
Доступ для онлайн-установки и обновления
- Доступ к репозиторию Принтум:
https://s3.printum.io(порт443) - При использовании облачной версии: доступ к
dev.printum.ioна порт443
Архитектурная схема и сетевые порты
Компоненты системы
| Компонент | Где устанавливается | Назначение |
|---|---|---|
| Мониторинг (М) | Сервер | Центральный узел: хранит конфигурацию, пользователей, устройства, статистику |
| ПринтМенеджер (ПМ) | Сервер | Управляет печатью, сканированием, авторизацией на МФУ |
| Сетевой агент | Сервер М (или отдельный) | Опрашивает устройства по SNMP, собирает счётчики и статусы |
| Локальный агент | АРМ пользователя | Мониторинг локальных (USB) МФУ |
| Клиент ПМ | АРМ пользователя | Формирует задания печати и отправляет на ПринтМенеджер |
| Встроенное приложение | МФУ | Авторизация пользователей, управление заданиями на устройстве |
| TCP-конвертер | Сеть (внешнее устройство) | Внешняя авторизация по карте для МФУ без встроенного приложения |
| HAProxy (балансировщик) | Отдельный сервер | Балансировка нагрузки между несколькими ПринтМенеджер |
Типовые конфигурации
Singlenode — Мониторинг и ПринтМенеджер на одном сервере. Подходит для пилотов и небольших инсталляций.
Split — Мониторинг на одном сервере, ПринтМенеджер на другом. Разделение нагрузки.
Балансировщик — один Мониторинг и несколько ПринтМенеджер за HAProxy. Для высоконагруженных и отказоустойчивых инсталляций.
Филиальная сеть — центральный Мониторинг и несколько ПринтМенеджеров в разных локациях. Каждый ПринтМенеджер обслуживает своих пользователей и МФУ.
Взаимодействие компонентов
АРМ пользователя
└─ Клиент ПМ ──────────────────────→ ПринтМенеджер / (TCP 8080, 8010)
└─ Бесклиентский принтер ──────────→ ПринтМенеджер / CUPS (TCP 1631)
└─ Локальный агент ────────────────→ Мониторинг / (TCP 8001, 8000)
└─ Браузер ────────────────────────→ Личный кабинет / (TCP 80, 443)
└─ Браузер ────────────────────────→ Веб-интерфейс HA-Proxy / (TCP 7000)
МФУ
└─ Встроенное приложение ──────────→ ПринтМенеджер / (TCP 8080, 8010)
└─ SNMP ───────────────────────────→ Сетевой агент / (UDP 161, 162)
└─ Сканирование ───────────────────→ ПринтМенеджер / (FTP 20, 21, 30000, 30199)
ПринтМенеджер
└─ Синхронизация ──────────────────→ Мониторинг / (TCP 8001, 8000)
└─ Задание на МФУ ─────────────────→ МФУ / (TCP 631, SOCKET 9100, IPPS 443, IPP 80)
└─ Скан на email ──────────────────→ SMTP-сервер / (TCP 25, 465, 587)
└─ Скан в папку ───────────────────→ SMB-сервер / (TCP 445, 139)
└─ Встроенное приложение ──────────→ МФУ (HP, KM) / (TCP 57627, 7627, 50003, 50443)
└─ Гостевая печать ────────────────→ IMAP-сервер / (TCP 993)
└─ ────────────────────────────────→ К любым внешнии компонентам / (TCP 32768–60999)
└─ ────────────────────────────────→ ПринтМенеджер (в схеме "Балансировщик") / (TCP 6379, 26379)
└─ Внутрисервисное взамиодейтсвие / (TCP 8090, 8091)
Мониторинг
└─ журнал ИБ ──────────────────────→ Syslog / (UDP 514, TCP 1514, 1468)
└─ уведомления на email ───────────→ SMTP-сервер / (TCP 25, 465, 587)
└─ ────────────────────────────────→ К любым внешнии компонентам / (TCP 32768–60999)
└─ ────────────────────────────────→ ПринтМенеджер / (TCP 8080, 8010)
TCP-конвертер
└─ авторизация ────────────────────→ ПринтМенеджер / (7776/7777)
Сетевые порты — singlenode
| Порт | Протокол | Направление | Назначение |
|---|---|---|---|
| 8000 | HTTP | АРМ → М | Личный кабинет (нешифрованный) |
| 8001 | HTTPS | АРМ → М, ПринтМенеджер → М | Личный кабинет и API Мониторинга |
| 8080 | HTTPS | АРМ → ПринтМенеджер, Клиент ПМ → ПринтМенеджер | Панель администратора ПринтМенеджер, API |
| 8010 | HTTP | Клиент ПМ → ПринтМенеджер | API ПринтМенеджер (нешифрованный) |
| 1631 | HTTPS | АРМ → ПринтМенеджер | Веб-интерфейс CUPS |
| 7776, 7777 | TCP/WS | Встроенное приложение → ПринтМенеджер, TCP-конвертер → ПринтМенеджер | Авторизация и управление на МФУ |
| 161 | UDP | Сетевой агент → МФУ | SNMP-опрос устройств |
| 162 | UDP | МФУ → М | SNMP-ловушки (trap) |
| 631 | IPP | ПринтМенеджер → МФУ | Отправка заданий на печать (IPP) |
| 9100 | TCP | ПринтМенеджер → МФУ | Отправка заданий на печать (RAW/JetDirect) |
| 20, 21 | FTP | МФУ → ПринтМенеджер | Доставка заданий сканирования (активный режим) |
| 30000–30199 | FTP | МФУ → ПринтМенеджер | Доставка заданий сканирования (пассивный режим) |
| 8090 | HTTP | Внутренний | Прямое скачивание файлов из CUPS (нешифрованный) |
| 8091 | HTTPS | Внутренний | Прямое скачивание файлов из CUPS (шифрованный) |
| 25 | SMTP | ПринтМенеджер → SMTP-сервер | Отправка писем и уведомлений |
| 993 | IMAP | ПринтМенеджер → почтовый сервер | Гостевая печать через почтовый ящик |
| 22 | SSH | АРМ администратора → сервер | Установка, обновление, диагностика |
| 514, 1514, 1468 | TCP/UDP | М → Syslog | Журнал ИБ |
| 32768–60999 | TCP | Сервер → внешние компоненты | Динамические (эфемерные) порты |
Дополнительные порты — встроенные приложения по вендорам
| Порт | Направление | Вендор |
|---|---|---|
| 7627 | ПринтМенеджер → МФУ | HP (SOAP через HTTP) |
| 57627 | ПринтМенеджер → МФУ | HP |
| 50003 | ПринтМенеджер → МФУ | Konica Minolta |
| 50443 | ПринтМенеджер → МФУ | Konica Minolta |
Дополнительные порты — балансировщик
| Порт | Направление | Назначение |
|---|---|---|
| 6379, 26379 | Между серверами ПринтМенеджер | Redis Sentinel (кластер хранилища задач) |
| 7000 | АРМ → балансировщик | Панель администратора HAProxy |
Что открыть на firewall при внедрении
Минимальный набор для singlenode:
От АРМ пользователей к серверу: 443, 8001, 8000, 8080, 8010, 1631,
От МФУ к серверу: 7776, 7777, 20-21, 30000-30199
От сервера к МФУ: 161, 162 (UDP), 631, 9100, 80, 443
От сервера к внешним ресурсам: 25 (SMTP), 993 (IMAP, если гостевая печать через почту)
При использовании балансировщика дополнительно открыть между серверами ПринтМенеджер: 6379, 26379.
Актуальная архитектурная схема
Полная графическая схема с детализацией внутренних компонентов предоставляется по запросу: support@printum.io
В запросе указать: конфигурация (singlenode / балансировщик / филиальная сеть), цель запроса (согласование с ИБ, проектирование, ТЗ).