При развертывании корпоративной информационной системы или настройке сетевого взаимодействия между узлами, администраторы часто сталкиваются с необходимостью точной конфигурации межсетевых экранов. Понимание того, какие порты использует 1С, является критически важным для обеспечения стабильной работы клиент-серверного варианта платформы. Неправильная настройка правил фильтрации трафика может привести к тому, что пользователи не смогут подключиться к базе данных, а процессы репликации или обновления конфигураций будут прерываться на уровне сети.
Архитектура 1С:Предприятие 8 предполагает разделение на клиентскую часть, сервер приложений (rmngr) и сервер баз данных (rphost). Каждый из этих компонентов инициирует соединения по строго определенным протоколам и диапазонам. Игнорирование динамического выделения портов для рабочих процессов или блокировка служебных портов кластера — распространенная ошибка, которая усложняет диагностику проблем с производительностью и доступом.
В данной статье мы детально разберем сетевую инфраструктуру платформы, рассмотрим статические и динамические порты, а также предоставим рекомендации по безопасной настройке брандмауэров Windows и Linux. Вы получите четкое представление о том, как трафик перемещается между компонентами системы, и сможете грамотно составить правила доступа для вашей инфраструктуры.
Статические порты менеджера кластера и агента
Фундаментом сетевого взаимодействия в клиент-серверном варианте работы является служба менеджера кластера серверов (srv1cv83). Именно этот процесс управляет запуском рабочих процессов и распределяет нагрузку между ними. По умолчанию менеджер кластера слушает TCP-порт 1540. Через этот порт клиенты и административные утилиты отправляют запросы на получение списка информационных баз и инициирование сеансов.
Вторым ключевым компонентом является агент сервера (ragent), который работает на той же машине, что и менеджер кластера. Агент отвечает за мониторинг состояния рабочих процессов и их перезапуск в случае сбоев. Для своей работы он использует TCP-порт 1541. Эти два порта являются статическими, то есть их номера жестко зафиксированы в конфигурации по умолчанию и редко меняются в типовых инсталляциях.
⚠️ Внимание: Если вы изменяете стандартные порты 1540 или 1541 в файле конфигурации службы, убедитесь, что соответствующие правила в брандмауэре также обновлены, иначе удаленное администрирование станет невозможным.
Открытие только этих двух портов недостаточно для полноценной работы системы, так как они служат лишь «точкой входа» для первоначального рукопожатия. После подключения к менеджеру кластера клиент перенаправляется на другие порты для непосредственной работы с данными. Однако без доступа к 1540 и 1541 сама процедура подключения не начнется.
Порты 1540 (TCP) и 1541 (TCP) являются обязательными для старта любого сеанса работы с сервером 1С в клиент-серверном варианте.
Динамические порты рабочих процессов rphost
Самая сложная часть настройки сетевой безопасности связана с рабочими процессами rphost. Когда пользователь подключается к информационной базе, менеджер кластера запускает новый процесс rphost (или использует существующий свободный), который начинает слушать случайный порт из заданного диапазона. Именно через этот порт происходит основной обмен данными между клиентом 1С и сервером приложений.
По умолчанию в современных версиях платформы (начиная с 8.3.6) диапазон динамических портов ограничен значениями от 1560 до 1639. Это позволяет администраторам не открывать весь спектр портов (более 60 000), а создать узкое правило в фаерволе. Однако в старых версиях или при специфических настройках реестра диапазон может быть значительно шире, вплоть до 49152-65535, что является стандартным диапазоном эфемерных портов в Windows.
Для проверки текущего диапазона можно воспользоваться утилитой командной строки или посмотреть настройки в консоли администрирования серверов 1С Предприятия. Если вы видите, что процессы занимают порты за пределами стандартного диапазона 1560-1639, необходимо скорректировать параметры запуска кластера.
Как изменить диапазон динамических портов?
Для изменения диапазона необходимо отредактировать свойства кластера серверов в консоли администрирования. Найдите параметр "Диапазон портов рабочих процессов" и задайте начальный и конечный порт, например, 15000 и 15100. После применения настроек службу сервера 1С следует перезапустить.
Важно понимать, что блокировка динамических портов приведет к тому, что пользователи смогут видеть список баз в окне запуска, но при попытке входа получат ошибку соединения или зависание на этапе загрузки интерфейса. Это классический симптом «частичной» блокировки трафика.
Порты для веб-клиента и HTTP-сервисов
При организации доступа через тонкий клиент в режиме веб-бразера или использовании внешних HTTP-сервисов, архитектура подключения меняется. В этом случае взаимодействие происходит не напрямую с портами сервера 1С, а через веб-сервер (IIS, Apache, Nginx), который выступает в роли прокси.
Стандартные порты для веб-доступа остаются общепринятыми для интернет-протоколов:
- 🌐 Порт 80 (TCP) — используется для незашифрованного HTTP-трафика. Часто применяется во внутренних локальных сетях.
- 🔒 Порт 443 (TCP) — стандарт для защищенного соединения HTTPS. Обязателен при публикации баз в интернет.
- ⚙️ Порт 8080 (TCP) — альтернативный порт для HTTP, часто используемый для тестовых стендов или если 80-й порт занят другими службами.
Веб-сервер принимает запросы на этих портах и перенаправляет их на порт менеджера кластера (1540) или напрямую на рабочие процессы, в зависимости от настройки расширения веб-сервера. Следовательно, на самом сервере 1С открывать 80 или 443 не нужно, если веб-сервер стоит на другой машине. Если же веб-сервер и сервер 1С объединены, то правила должны включать и веб-порты, и порты кластера.
⚠️ Внимание: При публикации базы в интернет настоятельно рекомендуется использовать только порт 443 с валидным SSL-сертификатом. Передача учетных данных и конфиденциальных данных по порту 80 подвергает систему риску перехвата информации.
Используйте заголовок X-Frame-Options в настройках веб-сервера для защиты от атак типа Clickjacking при работе через веб-клиент.
Сетевое взаимодействие с СУБД (SQL Server, PostgreSQL)
Сервер приложений 1С не хранит данные самостоятельно; он выступает посредником между клиентом и системой управления базами данных (СУБД). Поэтому для работы системы критически важно обеспечить беспрепятственный доступ от сервиса 1С:Предприятие к портам СУБД.
Наиболее распространенные порты для популярных СУБД:
- 🐘 PostgreSQL: стандартный порт
5432(TCP). - 💾 MS SQL Server: стандартный порт
1433(TCP). Также может использоваться динамический порт, если не задан статический. - 🐬 MySQL/MariaDB: стандартный порт
3306(TCP). - 🗄️ Oracle DB: стандартный порт слушателя
1521(TCP).
Важно отметить, что трафик между сервером 1С и сервером баз данных часто не шифруется по умолчанию (за исключением настроенного SSL/TLS для PostgreSQL или SQL Server). Поэтому эти соединения должны проходить по доверенному сегменту сети, изолированному от внешнего доступа. Брандмауэр должен разрешать соединения только с IP-адреса сервера 1С на порт СУБД.
Таблица сводных портов 1С Предприятие
Для удобства настройки правил фильтрации ниже приведена сводная таблица основных портов. Используйте эти данные как чек-лист при конфигурировании вашего сетевого оборудования.
| Компонент | Протокол | Порт | Назначение |
|---|---|---|---|
| Менеджер кластера | TCP | 1540 | Регистрация клиентов и управление сеансами |
| Агент сервера | TCP | 1541 | Мониторинг и перезапуск рабочих процессов |
| Рабочие процессы (rphost) | TCP | 1560-1639 | Основной обмен данными с клиентом (по умолчанию) |
| Веб-сервер (публикация) | TCP | 80 / 443 | Доступ через браузер и внешние API |
| СУБД (PostgreSQL) | TCP | 5432 | Соединение сервера 1С с базой данных |
Обратите внимание, что в таблице указан диапазон 1560-1639 как рекомендуемый. В реальных высоконагруженных системах, где одновременно работают сотни пользователей, этого диапазона может не хватить. В таких случаях его необходимо расширять, редактируя реестр или свойства кластера.
☑️ Проверка сетевой доступности
Настройка брандмауэра Windows и Linux
Настройка правил в операционной системе — финальный этап обеспечения доступности. В среде Windows это делается через оснастку «Монитор брандмауэра Windows в режиме повышенной безопасности». Вам потребуется создать правила для входящих подключений (Inbound Rules) для всех портов, указанных выше.
Рекомендуется создавать отдельные правила для каждого диапазона портов с понятными именами, например, 1C_Cluster_Manager для порта 1540 и 1C_Work_Processes для диапазона 1560-1639. Это упростит дальнейшую диагностику и аудит безопасности. Для Linux-серверов (например, Ubuntu или CentOS) аналогичные настройки выполняются через утилиты ufw или firewalld.
⚠️ Внимание: После применения правил обязательно протестируйте подключение не только с локальной машины, но и с удаленного клиента, находящегося в другой подсети. Локальный тест (localhost) часто проходит успешно даже при закрытых портах из-за особенностей обработки петлевого интерфейса.
Если вы используете сложные схемы с балансировщиками нагрузки (NLB) или прокси-серверами, убедитесь, что они также корректно пробрасывают трафик на указанные порты backend-серверов. Иногда проблема кроется не в ОС, а в настройках сетевого оборудования.
Правила брандмауэра должны разрешать трафик от подсети клиентов к серверу 1С, но ограничивать доступ к портам СУБД только со стороны сервера 1С.
Диагностика проблем с подключением
Если пользователи жалуются на невозможность подключиться к базе, первым делом следует проверить доступность портов с помощью утилиты telnet или Test-NetConnection в PowerShell. Команда вида Test-NetConnection -ComputerName server1c -Port 1540 покажет, проходит ли пакет до менеджера кластера.
Частой ошибкой является ситуация, когда порт 1540 открыт, но диапазон рабочих процессов заблокирован. В логах сервера 1С (файлы в каталоге logs сервера) в этом случае будут записи об успешном подключении клиента к кластеру, но последующая ошибка выделения рабочего процесса. Также стоит проверить, не исчерпан ли лимит подключений на уровне лицензии или настроек кластера.
Для глубокого анализа сетевого трафика можно использовать сниффер Wireshark. Фильтрация пакетов по порту 1540 позволит увидеть handshake-пакеты и понять, на каком этапе обрывается соединение. Это особенно полезно при диагностике проблем с MSS (Maximum Segment Size) или фрагментацией пакетов в сложных сетях.
Какой порт используется для лицензионного сервера 1С?
Лицензионный менеджер 1С (hasp или программный) по умолчанию использует UDP порт 475. Если сервер лицензий находится на удаленной машине, необходимо открыть этот порт для UDP-трафика. Также для связи с ключами защиты HASP может использоваться порт 1947 (TCP/UDP).
Можно ли изменить порт 1540 на другой?
Да, порт менеджера кластера можно изменить. Это делается через реестр Windows (ключ HKLM\SOFTWARE\1C\1CEngine) или при установке сервера. Однако изменение этого порта потребует ручной правки ярлыков запуска у всех пользователей или настройки DNS SRV-записей, что усложняет поддержку.
Почему не работает подключение через HTTPS (порт 443)?
Чаще всего проблема заключается в отсутствии привязки SSL-сертификата к сайту в веб-сервере (IIS/Apache) или в том, что расширение веб-сервера для 1С не установлено или не настроено. Сам сервер 1С не слушает порт 443 напрямую, это задача веб-сервера.
Нужно ли открывать порты для файлового варианта 1С?
Для файлового варианта работы порты 1540-1639 не используются. Доступ осуществляется напрямую к общей папке по протоколам SMB (порты 445, 139). Однако производительность и надежность файлового варианта ниже, и он не рекомендуется для более чем 5-10 одновременных пользователей.
Как узнать, какие порты сейчас заняты процессом 1С?
Выполните команду netstat -ano | findstr "1C" или используйте утилиту TCPView от Sysinternals. Это покажет все активные соединения и порты, которые в данный момент удерживаются процессами rphost или ragent.