Настройка сетевых портов для 1С:Предприятие — критически важный этап развертывания серверной инфраструктуры, от которого зависит стабильность работы баз данных, скорость обмена данными и защита от внешних угроз. Даже опытные администраторы иногда сталкиваются с проблемами подключения клиентов к серверу из-за закрытых или неправильно настроенных портов. Эта статья поможет разобраться, какие именно порты необходимо открывать в зависимости от конфигурации вашей системы, какие протоколы используются для разных типов соединений, и как избежать типичных ошибок при настройке Windows Firewall или аппаратных межсетевых экранов.

Особое внимание мы уделим не только стандартным портам для кластера серверов 1С:Предприятие 8.3, но и дополнительным каналам, которые могут потребоваться для интеграции с веб-сервисами, REST API, или работы через RDP. Вы также узнаете, как проверить доступность портов, какие риски несет открытие ненужных каналов, и как сбалансировать требования безопасности с необходимостью обеспечить доступ пользователям из разных сегментов сети.

Базовые порты для кластера серверов 1С:Предприятие 8.3

Кластер серверов 1С:Предприятие использует несколько ключевых портов для взаимодействия между рабочими процессами (ragent, rmngr) и клиентскими приложениями. Эти порты должны быть открыты как на уровне операционной системы, так и на межсетевых экранах, если сервер находится за ними.

Основной диапазон портов, который необходимо настроить:

  • 🔹 1540-1541 (TCP) — порты для подключения клиентов к кластеру серверов. Порт 1540 используется по умолчанию для основного соединения, а 1541 — для административных задач (например, через Консоль кластера).
  • 🔹 1560-1591 (TCP/UDP) — динамический диапазон, который кластер резервирует для рабочих процессов. Количество портов зависит от числа одновременно работающих сеансов (по умолчанию — 32 порта).
  • 🔹 27017 (TCP) — порт для MongoDB, если вы используете 1С:Документооборот или другие решения с этой СУБД.

Важно учитывать, что при установке кластера порты 1540-1541 прописываются в конфигурационном файле conf.cfg (расположен в каталоге кластера). Если эти порты заняты другими службами, их можно изменить вручную, но тогда потребуется соответствующая настройка на всех клиентских машинах.

💡

Перед изменением стандартных портов убедитесь, что новые номера не конфликтуют с другими службами Windows. Используйте команду netstat -ano для проверки занятых портов.

Порты для работы с СУБД (MS SQL, PostgreSQL, Oracle)

Если ваша база работает на внешней СУБД (например, Microsoft SQL Server, PostgreSQL или Oracle), необходимо открыть дополнительные порты для взаимодействия между сервером и базой данных. Эти порты зависят от типа СУБД и её конфигурации.

СУБД Порт по умолчанию Протокол Примечания
Microsoft SQL Server 1433 TCP Используется для подключения к экземпляру по умолчанию. Для именованных экземпляров может потребоваться динамический порт (настраивается в SQL Server Configuration Manager).
PostgreSQL 5432 TCP Порт можно изменить в файле postgresql.conf. Требуется также настройка pg_hba.conf для разрешений подключения.
Oracle Database 1521 TCP Порт для Oracle Listener. Для RAC-кластеров могут использоваться дополнительные порты.
IBM DB2 50000 TCP Порт по умолчанию для экземпляра DB2. Может варьироваться в зависимости от версии.

Для Microsoft SQL Server важно учитывать, что при использовании протокола Shared Memory (для локальных подключений) открывать порты не требуется. Однако для сетевого доступа необходимо разрешить 1433 или динамический порт, если используется именованный экземпляр. Также проверьте, что в настройках SQL Server включен протокол TCP/IP.

Как проверить, какой порт использует именованный экземпляр SQL Server?

Для этого откройте SQL Server Configuration Manager, перейдите в раздел Сетевая конфигурация SQL Server → Протоколы для [ИМЯ_ЭКЗЕМПЛЯРА] и проверьте свойства протокола TCP/IP. Вкладка IP-адреса покажет используемый порт (по умолчанию — динамический).

Порты для веб-сервисов и REST API

Если ваша конфигурация интегрируется с внешними системами через веб-сервисы или REST API, потребуется открыть дополнительные порты. Это актуально для:

  • 🌐 Публикации баз на веб-сервере (например, через IIS или Apache).
  • 🔗 Обмена данными с сайтами (например, через 1С-Битрикс или WooCommerce).
  • 📱 Мобильных приложений, подключающихся к серверу через HTTP/HTTPS.

Стандартные порты для веб-интеграции:

  • 🔹 80 (TCP) — для HTTP-соединений (не рекомендуется для продуктивных систем из-за отсутствия шифрования).
  • 🔹 443 (TCP) — для HTTPS (обязателен для безопасного обмена данными).
  • 🔹 8080, 8081 (TCP) — альтернативные порты для веб-сервисов, если 80 и 443 заняты.

Для публикации базы через веб-сервер необходимо:

  1. Установить расширение 1C:Enterprise для IIS или Apache.
  2. Настроить виртуальный каталог, указав путь к базе.
  3. Открыть соответствующие порты на брандмауэре.
📊 Какой протокол вы используете для интеграции 1С с внешними системами?
HTTP
HTTPS
OData
REST API
Другой

Порты для удаленного администрирования (RDP, SSH, VNC)

Если сервер требует удаленного управления, необходимо открыть порты для соответствующих протоколов. Это актуально для администраторов, которые настраивают кластер или базы данных дистанционно.

Основные порты для удаленного доступа:

  • 🔹 3389 (TCP) — стандартный порт для Remote Desktop Protocol (RDP). Используется для подключения к серверу через Удаленный рабочий стол Windows.
  • 🔹 22 (TCP) — порт для SSH (актуален для Linux-серверов или при использовании PuTTY на Windows).
  • 🔹 5900 (TCP) — порт для VNC (альтернатива RDP для графического удаленного управления).

Рекомендуется:

  • 🔒 Использовать VPN для подключения к внутренней сети перед доступом по RDP.
  • 🔒 Настроить ограничение по IP в правилах брандмауэра.
  • 🔒 Включить Network Level Authentication (NLA) для дополнительной защиты.
💡

Никогда не открывайте порт 3389 напрямую в интернет без дополнительных мер защиты. Используйте VPN или ограничьте доступ конкретными IP-адресами.

Порты для обмена данными между серверами (распределенные базы, репликация)

В распределенных системах, где несколько серверов взаимодействуют между собой (например, для репликации баз или распределенной информационной базы (РИБ)), требуется открыть дополнительные порты для синхронизации данных.

Ключевые порты для межсерверного обмена:

  • 🔹 1545 (TCP) — порт для синхронизации распределенных баз (используется по умолчанию).
  • 🔹 1433/1434 (TCP/UDP) — порты для репликации MS SQL Server (если используется репликация на уровне СУБД).
  • 🔹 5432 (TCP) — порт для репликации PostgreSQL (если настроена потоковая репликация).

Для настройки РИБ в 1С:Предприятие необходимо:

  1. Убедиться, что на обоих серверах открыт порт 1545 (или другой, если он изменен в настройках кластера).
  2. Проверить, что межсетевые экраны пропускают трафик между серверами.
  3. Настроить права доступа для пользователя, под которым выполняется синхронизация.

Если синхронизация проходит через СУБД, например, MS SQL Server, убедитесь, что порты для репликации (1433, 1434) также открыты между серверами. Для PostgreSQL может потребоваться настройка файла pg_hba.conf для разрешения подключений с IP-адресов реплик.

Порт 1545 открыт на обоих серверах|Правила брандмауэра разрешают трафик между серверами|Пользователь синхронизации имеет достаточные права|Порты СУБД открыты для репликации (если используется)|-->

Порты для интеграции с внешними системами (1С:EDT, Git, CI/CD)

При использовании современных инструментов разработки, таких как 1С:EDT (Eclipse Development Tools), Git для контроля версий, или систем CI/CD (например, Jenkins), потребуется открыть дополнительные порты для взаимодействия с репозиториями и серверами сборки.

Основные порты для разработки и интеграции:

  • 🔹 22 (TCP) — порт для SSH, используемый Git для работы с удаленными репозиториями (например, GitHub, GitLab, Bitbucket).
  • 🔹 80/443 (TCP) — порты для HTTP/HTTPS-доступа к Git-репозиториям.
  • 🔹 8080 (TCP) — порт по умолчанию для Jenkins (если используется для автоматической сборки и развертывания конфигураций ).
  • 🔹 1521 (TCP) — порт для 1С:EDT, если используется подключение к серверу через Debugger.

Для работы с 1С:EDT также может потребоваться настройка портов для:

  • 🔹 Подключения к серверу (обычно те же порты, что и для кластера: 1540-1541).
  • 🔹 Доступа к Maven-репозиториям (порты 80, 443 или 8081, в зависимости от настроек).

Если вы используете Docker для развертывания , убедитесь, что порты контейнеров правильно проброшены на хост-машину. Например, для контейнера с PostgreSQL необходимо пробросить порт 5432, а для контейнера с кластером — диапазон 1540-1591.

Проверка и диагностика открытых портов

После настройки портов необходимо убедиться, что они действительно доступны и не блокируются брандмауэром или провайдером. Для этого можно использовать как встроенные инструменты операционной системы, так и сторонние утилиты.

Способы проверки доступности портов:

  • 🔹 Команда telnet: 
    telnet [IP-адрес сервера] [порт]

    Если порт открыт, вы увидите сообщение о подключении или пустой экран. Если закрыт — ошибку типа "Не удалось открыть соединение".

  • 🔹 Утилита Test-NetConnection (PowerShell): 
    Test-NetConnection [IP-адрес] -Port [порт]

    Команда вернет статус TcpTestSucceeded: True, если порт доступен.

  • 🔹 Сторонние сервисы (например, canyouseeme.org или portchecker.co) для проверки портов из внешней сети.

Если порт не отвечает, проверьте:

  • 🔹 Правила Windows Firewall или другого брандмауэра (например, Kaspersky, ESET).
  • 🔹 Настройки маршрутизатора или межсетевого экрана (если сервер находится за NAT).
  • 🔹 Работоспособность службы (например, через services.msc или команду sc query "1C:Enterprise 8.3 Server Agent").
💡

Для диагностики сетевых проблем в Windows используйте команду netsh advfirewall firewall show rule name=all — она покажет все активные правила брандмауэра.

Если вы подозреваете, что порт блокируется провайдером, свяжитесь с технической поддержкой для уточнения политики фильтрации трафика. Некоторые провайдеры по умолчанию закрывают нестандартные порты (например, 1540) для корпоративных клиентов.

Безопасность: как минимизировать риски при открытии портов

Открытие портов для 1С сервера всегда сопряжено с рисками несанкционированного доступа. Чтобы минимизировать угрозы, следуйте рекомендациям:

1. Ограничьте доступ по IP-адресам:

  • 🔒 Настройте правила брандмауэра так, чтобы порты были доступны только с доверенных IP (например, офисной сети или VPN).
  • 🔒 Для RDP используйте белые списки IP или двухфакторную аутентификацию.

2. Используйте VPN для удаленного доступа:

  • 🔒 Вместо открытия портов напрямую в интернет, разверните VPN-сервер (например, OpenVPN, WireGuard или встроенный RRAS в Windows).
  • 🔒 Это позволит подключаться к серверу только через защищенный туннель.

3. Регулярно обновляйте ПО:

  • 🔒 Устанавливайте последние обновления для 1С:Предприятие, СУБД и операционной системы.
  • 🔒 Уязвимости в старых версиях могут быть использованы для атак через открытые порты.

4. Мониторинг и аудит:

  • 🔒 Настройте логирование подключений к портам (например, через Windows Event Viewer или Fail2Ban на Linux).
  • 🔒 Используйте SIEM-системы (например, Splunk, ELK Stack) для анализа подозрительной активности.
💡

Открывайте только те порты, которые действительно необходимы для работы. Регулярно проводите аудит правил брандмауэра и удаляйте устаревшие разрешения.

Особое внимание уделите порту 1540 — он чаще всего становится целью атак, так как используется для подключения клиентов к серверу 1С. Если возможно, измените его на нестандартный (например, 15400) и ограничьте доступ строгими правилами.

⚠️ Внимание: Политики безопасности и рекомендации по настройке портов могут меняться в зависимости от версии 1С:Предприятие и используемых СУБД. Перед внесением изменений в продуктивную среду проверьте актуальные требования в документации или у партнера-интегратора.

FAQ: Частые вопросы по настройке портов для 1С

Нужно ли открывать порт 1540, если клиенты подключаются через веб-сервер?

Нет, если клиенты работают через веб-интерфейс (например, 1С:Предприятие в браузере), порт 1540 открывать не обязательно. Достаточно настроить порты веб-сервера (80, 443) и обеспечить доступ к нему. Однако порт 1540 все равно нужен для подключения Консоли кластера или 1С:EDT.

Как изменить стандартные порты кластера 1С?

Порты кластера настраиваются в файле conf.cfg, который находится в каталоге кластера (обычно C:\Program Files\1cv8\conf\). Найдите параметры port = 1540 и main_port = 1541, измените их на нужные значения и перезапустите службу 1С:Предприятие 8.3 Сервер. Не забудьте обновить правила брандмауэра!

Можно ли использовать 1С без открытия портов?

Да, если все клиенты и сервер находятся в одной локальной сети и не требуется удаленный доступ. В этом случае можно использовать протокол Shared Memory для MS SQL Server и локальные подключения к кластеру без сетевых портов. Однако для распределенных систем или удаленной работы открытие портов неизбежно.

Какие порты нужны для работы 1С:Документооборот?

Для 1С:Документооборот дополнительно к стандартным портам кластера (1540-1541) требуется:

  • 🔹 27017 (TCP) — для MongoDB (хранение файлов и метаданных).
  • 🔹 5672 (TCP) — для RabbitMQ (очереди задач, если используется).
  • 🔹 80/443 (TCP) — для веб-доступа к порталу документооборота.
Как защитить RDP-порт 3389 от атак?

Рекомендации по защите RDP:

  1. Измените стандартный порт 3389 на нестандартный (например, 3390) в реестре Windows (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber).
  2. Включите Network Level Authentication (NLA) в настройках RDP.
  3. Ограничьте доступ по IP в правилах брандмауэра.
  4. Используйте VPN для подключения к внутренней сети перед доступом по RDP.