Корректная настройка сетевой инфраструктуры является фундаментом стабильной работы информационной системы предприятия. При развертывании платформы 1С:Предприятие в клиент-серверном варианте администраторы часто сталкиваются с проблемами подключения, причиной которых становится блокировка сетевого трафика межсетевыми экранами. Игнорирование правил фильтрации пакетов приводит к тому, что тонкие или толстые клиенты не могут установить соединение с центральным сервером, а репликация баз данных между узлами становится невозможной.
Понимание архитектуры взаимодействия компонентов позволяет точно определить, какие именно сетевые интерфейсы требуют настройки. Ошибочное открытие всех портов подряд создает уязвимости в системе безопасности, тогда как избыточные ограничения парализуют бизнес-процессы. В данной статье мы детально разберем стандартные и динамические диапазоны портов, используемые процессами rphost, rmngr и СУБД, чтобы вы могли составить точный список правил для вашего брандмауэра.
Администрирование сервера 1С требует внимания к деталям, так как платформа использует сложную схему динамического распределения ресурсов. Неправильная конфигурация сети может привести к появлению ошибок типа"Соединение с сервером не установлено" или значительному снижению производительности при работе пользователей в распределенной информационной базе.
Архитектура сетевых соединений в кластере серверов
Взаимодействие между клиентскими рабочими местами и серверной частью строится на основе трехзвенной архитектуры. Клиентское приложение обращается не напрямую к файлам базы данных, а к диспетчеру кластера серверов, который управляет распределением нагрузки. Этот процесс, известный как rmngr, принимает входящие соединения от всех пользователей и перенаправляет их к рабочим процессам.
После того как диспетчер аутентифицирует пользователя и определит необходимую информационную базу, он инициирует создание или подключение к рабочему процессу rphost. Именно этот процесс выполняет непосредственную логику приложения и обращается к серверу баз данных. Сетевой трафик между клиентом и рабочим процессом шифруется и передается по отдельным каналам связи, параметры которых могут варьироваться в зависимости от версии платформы.
Важно учитывать, что в распределенных информационных базах (РИБ) схема соединений усложняется добавлением каналов обмена данными между центральным узлом и узлами-подчиненными. Здесь критически важен не только доступ к портам кластера, но и возможность прямого TCP-соединения между серверами баз данных для передачи изменений в режиме реального времени или по расписанию.
⚠️ Внимание: Архитектура сетевых взаимодействий может отличаться в зависимости от используемой версии платформы 1С:Предприятие и типа лицензии. Всегда сверяйтесь с техническим руководством для вашей конкретной редакции перед внесением изменений в правила файрвола.
Динамическое выделение портов для рабочих процессов является стандартным поведением системы, что позволяет масштабировать кластер без жесткой привязки к конкретным номерам. Однако такая гибкость создает сложности при настройке периметровой защиты, так как заранее неизвестно, какой именно порт будет занят следующим запущенным процессом обработки запроса.
Стандартные порты диспетчера и агента сервера
Точкой входа для всех клиентских подключений служит порт диспетчера кластера. По умолчанию платформа 1С:Предприятие 8.3 использует TCP порт 1541 для общения с этим сервисом. Если в вашей инфраструктуре этот номер изменен вручную в свойствах службы кластера, необходимо учитывать актуальное значение при настройке правил доступа из локальной сети.
Для управления самим сервером 1С из консоли администрирования используется агент сервера. Этот компонент слушает TCP порт 1540 и принимает команды на запуск, остановку и перезагрузку рабочих процессов. Доступ к этому порту должен быть строго ограничен: его следует открывать только для IP-адресов администраторов или консоли управления, но не для пользовательских рабочих мест.
В некоторых сценариях, особенно при использовании веб-серверов в качестве шлюза, может потребоваться настройка дополнительных интерфейсов. Например, при работе через IIS или Apache в режиме расширения веб-сервера, взаимодействие происходит через локальные сокеты или выделенные порты, которые не всегда совпадают со стандартным набором кластера.
Для повышения безопасности рекомендуется изменить стандартные порты 1540 и 1541 на нестандартные значения в свойствах службы кластера серверов 1С:Предприятие. Это усложнит задачу для автоматизированных сканеров уязвимостей.
Если вы используете устаревшие версии платформы или специфические конфигурации, диапазон портов может отличаться. Всегда проверяйте файл конфигурации ragent.ini или реестр Windows, чтобы убедиться в актуальности номеров портов для вашей установки.
Открытие только портов диспетчера недостаточно для полноценной работы пользователей. После первичного рукопожатия клиент получает от сервера адрес и порт рабочего процесса, к которому нужно подключиться далее. Если этот второй этап соединения будет заблокирован, пользователь увидит ошибку инициализации.
Настройка диапазона портов рабочих процессов rphost
Самая сложная часть конфигурации брандмауэра связана с рабочими процессами rphost. Поскольку количество одновременно работающих процессов зависит от нагрузки и настроек кластера, выделяет им порты из динамического диапазона. Без явного ограничения этого диапазона администратору пришлось бы открывать тысячи портов, что недопустимо с точки зрения безопасности.
Для решения этой проблемы в параметрах запуска кластера серверов необходимо явно задать диапазон портов. Это делается через ключи командной строки службы или через реестр. Наиболее важный параметр — range, который определяет список портов, доступных для выделения рабочим процессам.
ragent -range 1560-1591В приведенном примере мы ограничиваем кластер 32 портами (от 1560 до 1591 включительно). Этого количества обычно достаточно для небольшого или среднего предприятия, где количество активных сессий не превышает нескольких десятков. Для крупных внедрений диапазон следует расширить, исходя из формулы: количество портов = количество рабочих процессов + запас на фоновые задания.
После установки диапазона необходимо создать правило в брандмауэре, разрешающее входящие TCP-соединения именно на этот интервал адресов.
☑️ Проверка настройки диапазона портов
Использование широкого диапазона портов без необходимости увеличивает поверхность атаки. Если вы видите в логах, что процессы занимают порты за пределами заданного вами диапазона, значит, конфигурация применена некорректно или перезапуск службы не был выполнен.
Порты сервера баз данных SQL и PostgreSQL
Сервер 1С:Предприятие сам по себе не хранит данные, он выступает посредником между клиентом и СУБД. Поэтому критически важным является обеспечениености между сервером приложений и сервером баз данных. Для наиболее распространенной СУБД Microsoft SQL Server стандартным является TCP порт 1433.
Однако в реальных проектах часто используется динамический порт для именованных экземпляров SQL Server. В таком случае необходимо дополнительно открыть порт службы браузера SQL (UDP 1434), которая сообщает клиенту актуальный номер порта для конкретного экземпляра. Альтернативный и более надежный вариант — зафиксировать порт для каждого экземпляра в настройках SQL Server Configuration Manager.
При использовании свободной СУБД PostgreSQL, которая набирает популярность в экосистеме 1С, стандартным портом является TCP 5432. Принципиальных отличий в настройке правил брандмауэра нет, однако следует убедиться, что в файле pg_hba.conf на стороне СУБД также разрешены подключения с IP-адреса сервера 1С.
| Компонент | Протокол | Порт по умолчанию | Назначение |
|---|---|---|---|
| Агент сервера 1С | TCP | 1540 | Управление кластером |
| Диспетчер кластера | TCP | 1541 | Вход пользователей |
| MS SQL Server | TCP | 1433 | Доступ к данным |
| PostgreSQL | TCP | 5432 | Доступ к данным |
Не стоит забывать про порты для репликации, если используется отказоустойчивый кластер SQL (Always On) или репликация PostgreSQL. Эти сервисы требуют дополнительных правил для синхронизации данных между узлами СУБД, которые не входят в стандартный набор портов 1С.
Специфика работы с распределенными информационными базами
Организация работы распределенной информационной базы (РИБ) накладывает дополнительные требования на сетевую конфигурацию. В отличие от локального кластера, узлы РИБ могут находиться в разных физических локациях, соединенных через глобальную сеть или VPN-туннели. В этом случае критична пропускная способность канала и отсутствие блокировок на уровне TCP.
Обмен данными в РИБ может происходить в двух режимах: через центральный сервер или напрямую между узлами. При прямом обмене серверы баз данных должны иметь возможность устанавливать соединение друг с другом по портам СУБД. Если этот путь закрыт, механизм репликации будет пытаться использовать промежуточные файлы или завершится ошибкой.
Особое внимание следует уделить таймаутам соединения. В WAN-сетях задержки выше, чем в локальном сегменте, поэтому стандартные настройки таймаутов могут быть недостаточны. Это может привести к разрыву сессий при длительных операциях обмена, даже если порты формально открыты.
Проблемы с обменом в РИБ
Частой причиной ошибок обмена является не блокировка портов, а рассинхронизация времени на серверах. Убедитесь, что все узлы кластера и СУБД синхронизированы по протоколу NTP с точностью до миллисекунд.
Для диагностики проблем в распределенных базах удобно использовать утилиту tnsping (для Oracle) или telnet для проверки доступности конкретных портов между узлами. Успешное подключение по telnet на порт СУБД с одного сервера на другой гарантирует, что сетевой путь для репликации открыт.
Диагностика и проверка доступности портов
После внесения изменений в правила брандмауэра необходимо верифицировать их работоспособность. Простого перечитывания конфигурации недостаточно, так как кэширование правил или ошибки в приоритетах могут свести на нет все усилия. Первым шагом всегда должна быть проверка с рабочей станции пользователя.
Используйте утилиту командной строки telnet для быстрой проверки TCP-соединений. Команда telnet IP_сервера 1541 покажет, доступен ли диспетчер кластера. Если экран становится черным или появляется курсор, значит соединение установлено успешно. Если вы получаете сообщение об ошибке подключения, значит пакет блокируется.
Для более глубокого анализа можно использовать утилиту PortQry или встроенные средства PowerShell. Они позволяют не только проверить факт доступности, но и получить информацию о состоянии порта (LISTENING, FILTERED, BLOCKED). Это помогает понять, блокирует ли соединение сам сервер или промежуточное сетевое оборудование.
Test-NetConnection -ComputerName 192.168.1.10 -Port 1541В логах сервера 1С (файлы в каталоге log папки установки сервера) также можно найти следы попыток подключения. Ошибки аутентификации или таймауты на этапе соединения с рабочим процессом часто указывают именно на проблемы с портами диапазона rphost.
⚠️ Внимание: При диагностике не полагайтесь только на пинг (ICMP). Успешный ответ на ping означает лишь доступность узла в сети, но не гарантирует открытие конкретных TCP-портов, необходимых для работы 1С.
Правильная настройка портов — это баланс между безопасностью и доступностью. Всегда используйте минимально необходимый диапазон портов для рабочих процессов и строго ограничивайте доступ к портам управления.
Часто задаваемые вопросы (FAQ)
Можно ли открыть все порты для 1С одним правилом?
Технически можно создать правило, разрешающее весь исходящий и входящий трафик для процесса ragent.exe и rphost.exe. Однако это считается плохой практикой безопасности. Лучше явно указать диапазон TCP портов, чтобы контролировать сетевой поток и избегать конфликтов с другими сервисами.
Какой порт используется для веб-доступа к 1С через браузер?
Веб-доступ не использует порты кластера 1С напрямую. Он работает через стандартные веб-порты: TCP 80 (HTTP) или TCP 443 (HTTPS). Публикация базы на веб-сервере (IIS, Apache) требует настройки именно этих портов и установки расширения веб-сервера для 1С.
Почему 1С работает локально, но не подключается по сети?
Наиболее вероятная причина — блокировка порта 1541 или диапазона рабочих процессов брандмауэром Windows на сервере. Также проверьте, запущена ли служба"Агент сервера 1С:Предприятия" и имеет ли она правильный статус"Выполняется".
Нужно ли открывать UDP порты для работы 1С?
В стандартной клиент-серверной работе UDP порты не используются. Исключение составляет только порт 1434 для браузера SQL Server, если вы используете именованные экземпляры MS SQL с динамическими портами. Основной трафик 1С передается исключительно по протоколу TCP.
Как изменить порт диспетчера кластера после установки?
Порт диспетчера меняется в свойствах службы кластера через оснастку"Службы" (services.msc) или через реестр Windows в ветке HKLM\SOFTWARE\1C\1Cv8\Srvr. После изменения параметра Port необходимо перезапустить службу кластера серверов.