Корректная настройка сетевого взаимодействия является фундаментом стабильной работы распределенной информационной системы на базе платформы 1С:Предприятие. Ошибки в конфигурации межсетевых экранов или неправильное понимание того, какие сетевые порты должны быть открыты, часто приводят к невозможности подключения пользователей, сбоям в работе веб-сервисов или проблемам с лицензированием. Администратору необходимо четко разграничивать трафик между клиентами, сервером приложений и сервером баз данных.
В данной статье мы детально разберем архитектуру соединений и конкретные номера портов, используемые различными компонентами системы. Вы узнаете, как правильно настроить правила firewall в операционной системе Windows или Linux, чтобы обеспечить беспрепятственный доступ к базам данных, при этом сохраняя высокий уровень безопасности периметра сети.
Игнорирование требований к сетевой инфраструктуре может привести к тому, что пользователи будут видеть ошибки соединения или работать с критическими задержками. Мы рассмотрим как стандартные сценарии использования файлового и клиент-серверного вариантов, так и специфические настройки для веб-клиентов и внешних подключений.
Архитектура сетевых соединений в 1С
Понимание того, как компоненты системы обмениваются данными, критически важно для правильного выбора портов. В классической трехзвенной архитектуре участвуют три основных участника: тонкий клиент (рабочее место пользователя), сервер приложений 1С и сервер систем управления базами данных (СУБД), например, PostgreSQL или MSSQL. Каждый канал связи требует выделения конкретного диапазона адресов.
Сервер приложений 1С выступает в роли посредника, принимая запросы от клиентов и транслируя их в команды для СУБД. Именно поэтому настройка брандмауэра должна учитывать двусторонний характер этих связей. Если порт закрыт на направление "клиент-сервер", пользователь не сможет запустить базу. Если закрыто направление "сервер-СУБД", система не сможет выполнить даже простую выборку данных.
Важно отметить, что порты могут быть как статическими (зарезервированными по умолчанию), так и динамическими, выделяемыми операционной системой при старте службы. Для обеспечения стабильности в корпоративных сетях настоятельно рекомендуется фиксировать диапазоны в конфигурационных файлах, чтобы избежать хаотичного открытия тысяч временных сокетов.
⚠️ Внимание: Динамическое выделение портов без ограничения диапазона может привести к исчерпанию доступных сетевых ресурсов и сложностям при настройке правил фильтрации трафика на аппаратных шлюзах.
Используйте утилиту netstat -an в командной строке сервера во время подключения клиента, чтобы в реальном времени увидеть, какие именно порты используются в вашей текущей конфигурации.
Порты сервера приложений и кластера
Центральным элементом инфраструктуры является сервис агента сервера 1С:Предприятия (rmngr). По умолчанию он использует TCP порт 1540 или 1541 для регистрации кластеров и управления сеансами. Через этот канал клиенты получают список доступных информационных баз и перенаправляются на конкретный рабочий процесс (rphost).
Рабочие процессы, в которых непосредственно выполняется код конфигурации, используют диапазон портов, который по умолчанию составляет 1560–1591. Однако в нагруженных системах этого диапазона может быть недостаточно, особенно если используется технология кластеризации с большим количеством одновременных сессий. Администратор должен явно расширить этот диапазон в свойствах кластера через консоль управления.
- 🔌 Порт 1540/1541: Основной порт агента сервера для управления кластером.
- 🔄 Диапазон 1560–1591: Порты рабочих процессов (rphost) для обработки запросов пользователей.
- 🔐 Порт 1545: Часто используется для отладки и специфических служебных соединений внутри кластера.
При настройке правил безопасности необходимо открыть входящие соединения на порт агента и весь выделенный диапазон для рабочих процессов. Без этого клиенты смогут увидеть базу в списке, но при попытке входа получат ошибку "Не удалось установить соединение с сервером".
Настройка портов СУБД (PostgreSQL и MS SQL)
Сервер приложений 1С не хранит данные самостоятельно, он обращается к СУБД. Следовательно, на сетевом экране сервера баз данных должны быть открыты порты, слушающие запросы от сервера 1С. Для наиболее популярной в среде 1С системы PostgreSQL стандартным является порт 5432.
В случае использования Microsoft SQL Server ситуация немного сложнее. Стандартный порт для экземпляра по умолчанию — 1433. Однако если у вас настроены именованные экземпляры, они могут использовать динамические порты, что требует дополнительной настройки реестра Windows или использования службы браузера SQL, которая работает через UDP порт 1434.
| СУБД | Протокол | Порт по умолчанию | Назначение |
|---|---|---|---|
| PostgreSQL | TCP | 5432 | Основное соединение с базой |
| MS SQL Server | TCP | 1433 | Соединение с экземпляром по умолчанию |
| MS SQL Browser | UDP | 1434 | Поиск именованных экземпляров |
| Oracle DB | TCP | 1521 | Слушатель Oracle Net |
Критически важно обеспечить доступ к портам СУБД только с IP-адреса сервера приложений 1С. Открытие этих портов для всей локальной сети или, тем более, для интернета, создает колоссальную уязвимость для данных вашей организации. Используйте правила брандмауэра с указанием конкретных IP-адресов источников.
⚠️ Внимание: Никогда не открывайте порты СУБД (5432, 1433) для публичного доступа из интернета. Это прямой путь к утечке баз данных и шифрованию информации вирусами-вымогателями.
☑️ Проверка безопасности СУБД
Веб-сервер и публикация баз через IIS или Apache
Для доступа к 1С через браузер используется веб-сервер, который публикует базы данных как веб-приложения. Стандартным портом для незащищенного HTTP-трафика является 80, а для защищенного HTTPS — 443. Эти порты должны быть открыты на входящие соединения для всех пользователей, нуждающихся в веб-доступе.
Однако внутреннее взаимодействие между веб-сервером и сервером 1С происходит иначе. Веб-расширение (веб-модуль) обращается к серверу приложений 1С так же, как и обычный тонкий клиент, используя порт кластера (1540/1541) и диапазон рабочих процессов. Здесь не требуется открывать дополнительные специфические порты, если веб-сервер установлен на той же машине, что и сервер 1С.
Если же веб-сервер (IIS, Apache, Nginx) вынесен на отдельный физический или виртуальный сервер, необходимо настроить маршрутизацию между ним и сервером приложений. В этом случае на сервере 1С нужно разрешить входящие соединения с IP-адреса веб-сервера на порт кластера.
Нюансы настройки HTTPS
При использовании SSL-сертификатов убедитесь, что порт 443 открыт не только на самом веб-сервере, но и на промежуточных сетевых экранах. Часто администраторы забывают прописать правило для HTTPS, оставляя открытым только HTTP, что приводит к ошибкам при попытке защищенного соединения.
Служба лицензирования и HASP ключи
Вопрос лицензирования часто становится камнем преткновения при развертывании системы. Если вы используете программные лицензии или аппаратные ключи защиты (HASP), необходимо учитывать работу службы лицензирования. По умолчанию она использует порт 475 (UDP/TCP) для обмена информацией о доступных лицензиях.
В распределенных инфраструктурах, где сервер лицензирования установлен отдельно от сервера приложений, этот порт должен быть доступен для всех компонентов, запрашивающих лицензии. Блокировка этого порта приведет к тому, что пользователи смогут подключиться к серверу, но не смогут запустить информационную базу из-за ошибки "Не найдена лицензия".
Для аппаратных ключей, подключенных напрямую к серверу, сетевые порты могут не требоваться, если драйверы работают в локальном режиме. Однако при использовании сетевых ключей HASP HL или SL, механизм общения с сервером защиты (HASP License Manager) также завязан на конкретные сетевые сокеты, которые необходимо добавить в исключения брандмауэра.
⚠️ Внимание: Служба лицензирования чувствительна к задержкам в сети. Убедитесь, что антивирусное ПО не сканирует трафик на порту 475 в реальном времени, так как это может вызывать таймауты при получении лицензии.
Порт 475 является критическим для работы системы лицензирования 1С. Его блокировка приводит к массовому отказу в доступе пользователей, даже если все остальные службы работают исправно.
Удаленный доступ и администрирование (RDP, SSH)
Помимо портов самой платформы 1С, администратору необходимо обеспечить доступ к серверу для проведения регламентных работ. Для серверов под управлением Windows стандартным является протокол удаленного рабочего стола (RDP), использующий порт 3389. Для Linux-серверов обычно используется SSH на порту 22.
В целях безопасности рекомендуется изменить стандартные порты для удаленного доступа на нестандартные значения, чтобы снизить количество автоматизированных атак ботнетов. Например, можно изменить порт RDP в реестре Windows или конфигурации sshd_config в Linux. Не забудьте обновить правила firewall после изменения настроек.
Также стоит упомянуть порты для мониторинга. Если вы используете системы наблюдения за состоянием сервера (Zabbix, Prometheus), необходимо открыть доступ для агентов мониторинга. Обычно это порт 10050 для Zabbix Agent или порты экспортеров для Prometheus. Эти соединения должны быть разрешены только с IP-адреса сервера мониторинга.
netsh advfirewall firewall add rule name="RDP Custom" dir=in action=allow protocol=TCP localport=3390Приведенная выше команда демонстрирует, как добавить правило для нестандартного порта RDP в брандмауэр Windows через командную строку. Аналогичные действия необходимо выполнять и для портов 1С, если вы решите изменить их значения по умолчанию.
Безопасность RDP
Всегда используйте сложную аутентификацию (NLA) для RDP и по возможности организуйте доступ к серверу через VPN-туннель, вместо прямого проброса порта 3389 во внешнюю сеть.
Диагностика и проверка доступности портов
После настройки всех правил необходимо убедиться, что соединения проходят корректно. Стандартным инструментом для проверки является утилита telnet, однако в современных системах она часто отключена. Альтернативой служит команда Test-NetConnection в PowerShell или утилита nc (netcat) в Linux.
Для проверки доступности порта кластера 1С с рабочей станции пользователя можно выполнить команду, которая покажет, проходит ли пакет до сервера. Если соединение не устанавливается, проблема кроется либо в локальном фаерволе клиента, либо в промежуточном сетевом оборудовании, либо в настройках сервера.
- 🛠️ Используйте
tcpingдля быстрой проверки доступности портов без установки лишнего ПО. - 📊 Анализируйте логи сервера 1С (файлы .log в каталоге сервера), там часто указывается причина отказа в соединении.
- 🌐 Проверяйте маршрутизацию, если сервер 1С и клиент находятся в разных подсетях.
Помните, что успешная проверка порта (TCP Connect) еще не гарантирует корректную работу приложения. Это лишь означает, что сетевой уровень функционирует правильно. Далее требуется проверка на уровне приложения, то есть попытка реального входа в базу 1С.
Для автоматизации проверки создайте простой скрипт на PowerShell, который будет опрашивать ключевые порты (1540, 5432, 475) и отправлять отчет администратору в случае недоступности любого из них.
Можно ли изменить порт кластера 1С по умолчанию?
Да, порт кластера (по умолчанию 1540 или 1541) можно изменить в свойствах кластера через консоль администрирования серверов 1С. Это полезно, если стандартный порт занят другим приложением или требуется соблюдение политик безопасности, запрещающих использование стандартных портов.
Почему 1С не видит базу в списке, хотя порт открыт?
Если порт 1540 открыт, но базы нет в списке, проверьте службу агента сервера 1С. Она должна быть запущена. Также убедитесь, что база добавлена в кластер серверов и у пользователя есть права на просмотр списка баз.
Нужно ли открывать порты 1С для интернета?
Категорически не рекомендуется открывать порты сервера 1С (1540, диапазон рабочих процессов) напрямую в интернет. Для удаленного доступа используйте VPN, терминальный сервер (RDP) или шлюз веб-доступа с правильно настроенным SSL.
Какой порт использует веб-клиент 1С?
Веб-клиент обращается к веб-серверу по портам 80 (HTTP) или 443 (HTTPS). Сам веб-сервер затем соединяется с сервером приложений 1С по внутренним портам кластера (1540/1541), которые не должны быть доступны из внешней сети.
Как узнать, какой порт использует конкретный рабочий процесс?
Это можно сделать через консоль управления кластером серверов 1С. Выберите кластер, перейдите в свойства рабочих процессов, там будет указан текущий порт. Также можно использовать команду netstat -ano на сервере и найти процесс rphost.