Вопрос о том, какой порт используется для работы системы 1С:Предприятие 8, часто вводит в заблуждение начинающих системных администраторов. Многие ошибочно полагают, что существует одно универсальное числовое значение, которое нужно просто открыть в брандмауэре. Однако архитектура платформы устроена значительно сложнее: для корректного функционирования клиент-серверного варианта работы требуется комплексная настройка сетевых взаимодействий. Неправильная конфигурация портов приводит к тому, что пользователи не могут подключиться к базе данных, получают ошибки лицензирования или сталкиваются с проблемами при работе с веб-клиентом.
В данной статье мы детально разберем стандартные и настраиваемые порты, используемые различными компонентами экосистемы 1С. Вы узнаете, как взаимодействуют менеджер соединений, сервер процессов, СУБД и веб-серверы. Понимание этих процессов критически важно для обеспечения безопасности вашей инфраструктуры, так как открытие лишних портов наружу без необходимости создает серьезные уязвимости для внешней атаки.
Мы рассмотрим не только стандартные значения по умолчанию, но и ситуации, когда администратору необходимо изменить их вручную. Также затронем вопросы настройки firewall в операционных системах Windows и Linux. Информация будет полезна как для настройки локальной сети предприятия, так и для организации безопасного удаленного доступа к бухгалтерским и управленческим базам данных.
Архитектура сетевых соединений в 1С:Предприятие
Система 1С:Предприятие в клиент-серверном варианте представляет собой многоуровневую структуру. На верхнем уровне находится клиентское приложение (толстый или тонкий клиент, веб-браузер), которое инициирует соединение. Этот запрос сначала попадает не напрямую в базу данных, а на специальный сервис — менеджер кластера серверов (rmngr). Именно он отвечает за распределение нагрузки и управление сеансами пользователей.
После аутентификации и выбора конкретной информационной базы менеджер кластера перенаправляет клиента на соответствующий рабочий процесс (rphost). Этот процесс уже выполняет код на стороне сервера и обращается к системе управления базами данных (СУБД) — чаще всего это Microsoft SQL Server или PostgreSQL. Таким образом, сетевой трафик разделяется на несколько независимых потоков, каждый из которых требует своего сетевого порта для прослушивания входящих соединений.
Важно понимать, что если вы заблокируете порт менеджера кластера, пользователи вообще не увидят список доступных баз в списке подключения. Если же заблокирован порт рабочего процесса, подключение пройдет, но система зависнет на этапе загрузки интерфейса или выдаст ошибку таймаута. Поэтому настройка правил фильтрации пакетов должна учитывать всю цепочку прохождения данных от клиента до диска с данными.
⚠️ Внимание: В облачных версиях 1С (1С:Линк) или при использовании терминального доступа (RDP) сетевая конфигурация может отличаться. В таких случаях основной трафик идет через порт удаленного рабочего стола (3389), а порты самой 1С остаются закрытыми внутри периметра сервера.
Стандартные порты сервера 1С:Предприятие
Основным шлюзом для входящих соединений является порт менеджера кластера. По умолчанию система использует диапазон портов, начинающийся с 1540. Это значение жестко прописано в конфигурационных файлах службы и известно большинству специалистов по внедрению. Однако при установке нескольких экземпляров сервера на одну машину или при конфликте с другим ПО эти значения могут быть изменены.
Для корректной работы кластера серверов необходимо открыть следующие порты в брандмауэре операционной системы:
- 🔌 1540 (TCP) — основной порт для приема входящих соединений от клиентов 1С. Через него происходит первичный handshake и авторизация.
- 🔌 1541 (TCP) — порт, используемый для межсерверного взаимодействия внутри кластера, а также для подключения административных утилит (например,
rasилиring). - 🔌 Диапазон 1560-1591 (TCP) — динамические порты, которые назначаются рабочим процессам (rphost) для обработки конкретных сеансов пользователей.
Стоит отметить, что порты рабочих процессов не фиксируются жестко за конкретными базами. Менеджер кластера выделяет свободный порт из диапазона в момент создания сеанса. Если ваш фаервол настроен строго и разрешает только порт 1540, то после успешной авторизации клиент потеряет связь с рабочим процессом, так не сможет подключиться к случайно выбранному порту из диапазона 1560+. Поэтому необходимо открывать весь диапазон или настраивать правила для процесса rphost.exe.
Если вы хотите ограничить диапазон портов рабочих процессов для упрощения настройки фаервола, это можно сделать через консольную утилиту ring или реестр Windows, задав параметры ClusterPortRangeMin и ClusterPortRangeMax.
Порты системы управления базами данных (СУБД)
Сервер 1С:Предприятие не хранит данные самостоятельно в виде файлов на диске (в клиент-серверном варианте). Он выступает промежуточным звеном, которое преобразует запросы на языке 1С в SQL-запросы. Для этого серверу 1С необходимо иметь доступ к порту СУБД. Если вы размещаете сервер 1С и сервер баз данных на разных физических машинах, этот порт критически важен для открытия.
Наиболее распространенной СУБД для 1С является Microsoft SQL Server. По умолчанию он использует порт 1433. Однако, если на сервере установлено несколько экземпляров SQL (Named Instances), они могут использовать динамические порты или другие фиксированные значения. Для проверки актуального порта можно воспользоваться утилитой SQL Server Configuration Manager или посмотреть логи ошибок сервера.
В случае использования бесплатной и популярной альтернативы — PostgreSQL — стандартным портом является 5432. При миграции с одной СУБД на другую администраторы часто забывают изменить правила доступа в сетевом экране, что приводит к полной неработоспособности базы, несмотря на то, что службы 1С запущены корректно.
| Компонент системы | Стандартный порт | Протокол | Назначение |
|---|---|---|---|
| Менеджер кластера 1С | 1540 | TCP | Входящие подключения клиентов |
| Администрирование кластера | 1541 | TCP | Управление через ras/ring |
| MS SQL Server | 1433 | TCP | Обмен данными с СУБД |
| PostgreSQL | 5432 | TCP | Обмен данными с СУБД |
| Веб-сервер (IIS/Apache) | 80 / 443 | HTTP/HTTPS | Доступ через браузер |
⚠️ Внимание: Никогда не оставляйте порты СУБД (1433, 5432) открытыми для публичного доступа из интернета (0.0.0.0/0). Это прямой путь к шифровальщикам и утечке данных. Доступ к этим портам должен быть разрешен только с IP-адреса сервера 1С:Предприятие.
Настройка веб-доступа и публикация баз
Современные пользователи все чаще работают с 1С через браузер, используя тонкий клиент или веб-расширения. Для реализации такого сценария требуется публикация базы на веб-сервере. В среде Windows чаще всего используется IIS (Internet Information Services), а в Linux — Apache или Nginx. В этом случае сетевая модель меняется: клиент подключается не напрямую к порту 1540, а к стандартным веб-портам.
При работе через веб-клиент трафик инкапсулируется в HTTP или HTTPS пакеты. Это означает, что для внешнего мира открытыми должны быть порты 80 (для незащищенного соединения) и 443 (для защищенного SSL/TLS соединения). Сам веб-сервер внутри сети уже самостоятельно обращается к менеджеру кластера 1С по порту 1540. Такая схема позволяет скрыть внутреннюю структуру сети и порты 1С от внешних пользователей.
Для настройки публикации используется утилита командной строки publishtemp.bat или оснастка MMC "Сайты 1С:Предприятия". В процессе публикации указывается путь к базе, имя виртуального каталога и параметры подключения к кластеру серверов. Ошибки на этом этапе часто связаны с тем, что у учетной записи пула приложений IIS нет прав на чтение каталога платформы 1С или на подключение к сетевому порту кластера.
Почему веб-клиент работает медленнее толстого?
Веб-клиент работает в sandbox-режиме браузера и не имеет прямого доступа к файловой системе и некоторым системным вызовам ОС. Кроме того, весь интерфейс рендерится через DOM-дерево браузера, что создает дополнительную нагрузку на процессор клиента по сравнению с нативным интерфейсом толстого клиента.
Диагностика и проверка открытых портов
Как убедиться, что необходимые порты действительно открыты и слушаются службами? Существует несколько надежных способов диагностики, которые должен знать каждый администратор. Первый и самый простой — использование встроенной утилиты командной строки netstat. Она показывает все активные сетевые соединения и порты, на которых система ожидает подключения.
Для получения детальной информации выполните команду в консоли с правами администратора:
netstat -ano | findstr :1540Эта команда отфильтрует вывод, оставив только строки, содержащие порт 1540. В последней колонке вы увидите PID (Process ID) процесса. Сопоставив этот номер с диспетчером задач, вы убедитесь, что порт занят именно процессом rmngr.exe. Если порт не отображается в списке LISTENING, значит служба кластера серверов 1С не запущена или настроена на другой порт.
Для проверки доступности порта с удаленной машины (например, с компьютера пользователя) удобно использовать утилиту telnet или Test-NetConnection в PowerShell. Команда tnc server_name -port 1540 вернет статус True, если соединение успешно установлено, и False, если пакет блокируется фаерволом или служба не отвечает. Это позволяет мгновенно локализовать проблему: на стороне сервера или в сетевом оборудовании.
☑️ Диагностика подключения 1С
Вопросы безопасности и защита периметра
Открытие портов для работы 1С неизбежно расширяет поверхность атаки вашей информационной системы. Злоумышленники постоянно сканируют сети на наличие открытых портов 1540 и 1433, пытаясь подобрать пароли или воспользоваться уязвимостями в версиях ПО. Поэтому подход "открыть все для работы" является недопустимым в современной инфраструктуре.
Рекомендуется реализовать стратегию глубокой эшелонированной обороны. Во-первых, используйте списки контроля доступа (ACL) на сетевом оборудовании, разрешая подключения к портам 1С только с доверенных подсетей (например, только из VLAN отдела бухгалтерии). Во-вторых, для удаленных сотрудников организуйте доступ через защищенные каналы связи, такие как VPN или шлюзы удаленных рабочих столов (RD Gateway), вместо прямой проброски портов 1С в интернет.
Также стоит регулярно обновлять платформу 1С:Предприятие. Разработчики оперативно закрывают обнаруженные уязвимости в сетевом коде сервера. Использование устаревших версий (например, релизов 2018-2019 годов) при открытом порте 1540 делает сервер легкой добычей для автоматических ботнетов.
⚠️ Внимание: Конфигурация сетевых правил и требования регуляторов могут меняться. Всегда сверяйте актуальные требования по защите персональных данных и коммерческой тайны с официальными документами вашей организации и рекомендациями ФСТЭК перед открытием портов во внешнюю сеть.
Безопасность 1С строится не на скрытии портов, а на строгом ограничении круга лиц и IP-адресов, имеющих право подключения к ним, а также на использовании шифрованных каналов связи.
Часто задаваемые вопросы (FAQ)
Можно ли изменить стандартный порт 1540 на другой?
Да, это возможно. Для этого необходимо отредактировать файл конфигурации службы кластера серверов (srvinfo\reg_1540\1cv8reg.cfg или аналогичный, в зависимости от версии) или использовать утилиту командной строки ring для перерегистрации кластера на новом порту. После изменения порта потребуется перезапустить службу и обновить настройки подключения на всех клиентских рабочих местах.
Почему 1С не видит базы, хотя пинг до сервера проходит?
Пинг проверяет только доступность сетевого уровня (ICMP), но не проверяет открытие конкретных TCP-портов. Скорее всего, брандмауэр Windows на сервере блокирует порт 1540, либо служба "Агент сервера 1С:Предприятия" остановлена. Проверьте статус службы и правила входящих подключений в фаерволе.
Какой порт использовать для файлового варианта 1С?
В файловом варианте работы сервер 1С:Предприятие не используется, поэтому порты 1540-1591 не нужны. Доступ к базе осуществляется напрямую к папке с файлами базы данных по протоколам файлового обмена (SMB). Для этого должны быть открыты порты 445 (TCP) и 139 (TCP/NBT), однако безопасность такого доступа критически зависит от прав доступа к файловой системе NTFS.
Нужно ли открывать порты для лицензионного сервера HASP?
Если вы используете сетевые ключи защиты HASP (HASP HL или HASP SL), то для работы менеджера лицензий необходимо открыть порт 475 (TCP/UDP). Без этого порта клиентские машины не смогут получить лицензию на запуск 1С, даже если все остальные порты настроены верно.
Как узнать, какой порт занимает конкретная база 1С?
Порты выделяются динамически из диапазона 1560-1591 в момент подключения пользователя. Заранее узнать, какой именно порт займет база, нельзя. Однако можно сузить диапазон выделяемых портов в настройках кластера, чтобы упростить настройку сетевого экрана, оставив открытыми только необходимые значения.