В случае использования коробочного Битрикс24, администратор сети компании должен учитывать в политике безопасности необходимость открытия доступа для rest-приложений в сеть.

Для Битрикс24 необходимо открыть:

• Исходящие запросы на oauth.bitrix.info (для механизма приложений) и http://www.1c-bitrix.ru (для работы витрины приложений).
• Входящие запросы от серверов приложения (адреса зависят от конкретных приложений).

Для приложения, если на своем сервере ведётся разработка приложения, необходимо открыть:

• Исходящие на oauth.bitrix.info.
• Исходящие запросы на конкретный сервер коробочного Битрикс24.
• Входящие запросы от серверов mp_actions.*, если приложение использует механизмы событий, роботов или кастомные действия бизнес-процессов.

Текущие IP:

oauth.bitrix.info:

46.235.53.68
176.34.103.175

Кроме этих статичных адресов, есть и динамические адреса с которых могут приходить исходящие веб-хуки. Список таких URL можно получить запросом на адрес https://dl.bitrix24.com/webhook/app.json.

Пример запроса через curl:

$ curl https://dl.bitrix24.com/webhook/app.json
{
"nodes": ["195.208.184.200"]
}

Список IP-адресов в массиве nodes полученный в ответе - надо использовать для изменения правил фаервола. Это динамически меняющийся список машин с которых на момент запроса могут приходить исходящие веб-хуки.

Частота опроса - максимум 1 раз в минуту, а лучше сделать раз в 5 минут. В механизме масштабирования пула ВМ будет предусмотрено, что за 5 минут до того как с нового адреса начнут приходить веб-хуки - она уже будет присутствовать в списке.