Для стабильной работы распределенной информационной системы критически важно понимать сетевую архитектуру программного комплекса. Администраторы часто сталкиваются с ситуацией, когда пользователи не могут подключиться к базе данных, хотя сервер физически исправен и службы запущены. В большинстве подобных случаев проблема кроется в настройках межсетевых экранов, которые блокируют необходимый сетевой трафик.
Протоколы обмена данными между клиентскими рабочими местами и сервером приложений, а также между сервером 1С и системой управления базами данных (СУБД), используют строго определенные диапазоны чисел. Знание этих значений позволяет корректно настроить правила фильтрации пакетов в операционной системе Windows или Linux. Игнорирование этих параметров приводит к полному отсутствию связи или нестабильной работе в режиме клиент-сервер.
В данной статье мы детально разберем стандартные порты, используемые платформой 1С:Предприятие 8, а также сопутствующим программным обеспечением, таким как MS SQL Server и PostgreSQL. Вы получите четкое понимание того, какие именно службы необходимо разрешить в брандмауэре для обеспечения бесперебойного доступа сотрудников к учетной системе.
Стандартные порты сервера 1С:Предприятие
Центральным элементом архитектуры в файловом или клиент-серверном варианте является сервис, принимающий соединения от толстых и тонких клиентов. По умолчанию агент сервера 1С:Предприятия ожидает входящие подключения на конкретном TCP-порту. Если этот канал закрыт, пользователь увидит ошибку соединения при попытке запуска приложения.
Стандартным значением для основного сервиса является порт 8361. Именно через этот канал происходит первичный «рукопожатие» клиента с сервером, передача учетных данных и установление сессии. Важно отметить, что при установке платформы это значение назначается автоматически, однако опытные специалисты по безопасности часто меняют его для усложнения задач злоумышленникам.
Помимо основного порта, существует служебный канал, используемый для управления кластером серверов. Через порт 8360 администраторы подключаются с помощью консоли управления (mmc) или утилит командной строки ras. Блокировка этого порта не повлияет на работу обычных пользователей, но сделает невозможным удаленное администрирование инфраструктуры.
⚠️ Внимание: Если вы изменили стандартные номера портов в свойствах сервиса «Агент сервера 1С:Предприятия», убедитесь, что в брандмауэре открыты именно новые значения, а не стандартные 8360 и 8361.
При настройке правил безопасности необходимо учитывать, что сервер может работать в режиме, где порты динамически переназначаются для отдельных рабочих процессов (rphost). Однако начальный контакт всегда происходит через фиксированный адрес агента. Для проверки текущих настроек можно использовать оснастку services.msc и просмотреть свойства службы 1C:Enterprise 8.3 Server Agent.
Порты систем управления базами данных (СУБД)
В архитектуре клиент-сервер сервер приложений 1С выступает посредником между пользователем и физической базой данных. Для хранения информации чаще всего используются MS SQL Server или PostgreSQL. Эти системы также требуют открытия специфических сетевых портов для приема запросов от сервера 1С.
Для Microsoft SQL Server стандартным TCP-портом является 1433. Через него передаются все SQL-запросы, результаты выборок и транзакционные данные. Если сервер 1С и СУБД расположены на разных физических машинах, правило входящего подключения на порту 1433 является обязательным для создания кластера.
В случае использования бесплатной СУБД PostgreSQL, которая набирает популярность в экосистеме 1С, стандартным номером является 5432. Принцип работы аналогичен: сервер приложений обращается к этому адресу для чтения и записи данных. Блокировка этого канала приведет к ошибкам вида «Не удалось соединиться с сервером баз данных».
| Компонент системы | Протокол | Стандартный порт | Назначение |
|---|---|---|---|
| Агент сервера 1С | TCP | 8361 | Подключение клиентов |
| Консоль управления 1С | TCP | 8360 | Администрирование кластера |
| MS SQL Server | TCP | 1433 | Доступ к данным |
| PostgreSQL | TCP | 5432 | Доступ к данным |
| Лицензионный сервер | TCP | 8084 (или 8088) | Распределение лицензий |
Следует помнить, что в сложных конфигурациях с несколькими экземплярами SQL Server (Named Instances) может быть динамическим. В таких случаях требуется дополнительно открыть порт для службы браузера SQL (обычно UDP 1434), чтобы клиент мог узнать актуальный номер порта конкретного экземпляра.
Для повышения безопасности СУБД рекомендуется изменить стандартный порт 1433 на нестандартный в настройках SQL Server Configuration Manager и открыть только его в брандмауэре.
Настройка брандмауэра Windows для 1С
Операционная система Windows по умолчанию блокирует большинство входящих подключений, рассматривая их как потенциальную угрозу. Для корректной работы информационной системы администратор должен вручную создать правила, разрешающие трафик для исполняемых файлов платформы и конкретных портов.
Существует два основных подхода к настройке: разрешение по программе или разрешение по порту. Первый метод более гибкий, так как привязывается к пути к файлу ragent.exe или sqlservr.exe. Второй метод надежнее с точки зрения сетевой сегментации, так как открывает доступ только к конкретным числовым значениям, независимо от версии установленного ПО.
Чтобы создать правило по порту, необходимо открыть оснастку «Монитор брандмауэра Защитника Windows». В разделе «Правила для входящих подключений» создается новое правило типа «Для порта». Здесь указывается протокол TCP и локальный порт, например, 8361. Действие выбирается «Разрешить подключение».
⚠️ Внимание: При создании правил обязательно выберите профили «Доменный», «Частный» и «Общедоступный» в зависимости от вашей сетевой инфраструктуры. Ошибка в выборе профиля может привести к тому, что правило не сработает в корпоративной сети.
После применения настроек рекомендуется выполнить проверку доступности. Это можно сделать с помощью утилиты telnet или Test-NetConnection в PowerShell. Успешное подключение подтвердит, что пакеты проходят через фильтр безопасности без потерь.
☑️ Проверка настроек брандмауэра
Диагностика сетевых подключений и занятых портов
Иногда возникает ситуация, когда порт теоретически открыт, но соединение не устанавливается. Это может быть связано с тем, что служба не запущена, либо порт занят другим процессом. Для анализа текущего состояния сетевых интерфейсов сервера используются стандартные утилиты командной строки.
Команда netstat -an выводит список всех активных подключений и прослушиваемых портов. Для поиска конкретной службы можно использовать фильтрацию. Например, команда ниже покажет, слушает ли сервер 1С нужный адрес:
netstat -an | findstr"8361"Если в выводе команды вы видите строку со статусом LISTENING (или ОЖИДАНИЕ в русской локали), это означает, что служба работает корректно и готова принимать соединения. Отсутствие такой строки указывает на то, что сервис не запущен или настроен на прослушивание только локального интерфейса (127.0.0.1).
Для более глубокого анализа, когда нужно узнать, какой именно процесс (PID) занимает порт, используется расширенная команда netstat -ano. Полученный идентификатор процесса можно сверить с диспетчером задач, чтобы убедиться, что это именно ragent.exe, а не какая-либо сторонняя программа.
Что делать, если порт 8361 занят другой программой?
Если критически важный порт занят конфликтующим приложением, необходимо либо остановить лишнюю службу, либо изменить порт сервера 1С в реестре или через консоль управления кластером, перезапустив после этого агент сервера.
Особенности портов в веб-клиенте и публикации на IIS
Современные версии платформы 1С:Предприятие активно используют веб-технологии для предоставления доступа пользователям через браузер. В этой схеме добавляется еще один уровень взаимодействия — веб-сервер (чаще всего IIS или Apache), который выступает шлюзом между интернетом и сервером приложений.
Стандартные порты для веб-трафика — это 80 для HTTP и 443 для защищенного HTTPS. При публикации базы на веб-сервере именно эти адреса должны быть открыты для внешних пользователей. Сам веб-сервер затем транслирует запросы на внутренний порт 8361, который должен быть доступен только внутри локальной сети.
Важно различать порты расширения веб-сервера и порты самого кластера. Расширение веб-сервера (IIS Extension) использует механизм CGI или ISAPI для взаимодействия с ядром 1С. Ошибки на этом этапе часто связаны с правами доступа пула приложений в IIS, а не с сетевой блокировкой.
При организации доступа извне через HTTPS необходимо установить SSL-сертификат. Это шифрует трафик между браузером пользователя и веб-сервером, обеспечивая конфиденциальность передаваемых данных. Без этого шага использование порта 443 будет невозможным или небезопасным.
⚠️ Внимание: Никогда не открывайте порт 8361 напрямую для доступа из Интернета. Это создаст огромную брешь в безопасности. Внешний доступ должен осуществляться только через веб-сервер (порт 443) или VPN-туннель.
Безопасность и смена стандартных портов
Использование стандартных портов (8361, 1433, 5432) делает сервер легкой мишенью для автоматизированных сканеров уязвимостей и ботнетов. Злоумышленники постоянно сканируют диапазоны IP-адресов в поисках открытых портов СУБД и серверов 1С для последующего подбора паролей.
Эффективной мерой защиты является смена номеров портов на нестандартные. Это не заменяет необходимость использования сложных паролей и регулярного обновления ПО, но значительно снижает уровень «шума» от автоматических атак. Сервер становится «невидимым» для примитивных скриптов.
Для смены порта агента сервера 1С необходимо остановить службу, внести изменения в реестр Windows или использовать консольную утилиту ras. После смены номера не забудьте обновить правила брандмауэра и переподключить все клиентские рабочие места, указав новый адрес в строке подключения.
Смена стандартных портов на нестандартные значения является одной из базовых мер безопасности (Security by Obscurity), которая должна применяться в комплексе с настройкой прав доступа и аудитом.
Помните, что любая модификация сетевых настроек требует тщательного тестирования. Перед внедрением изменений в боевую среду (Production) обязательно проверьте работоспособность на тестовом стенде. Это позволит избежать простоев в работе бухгалтерии и отдела продаж из-за ошибок конфигурации.
Можно ли использовать один порт для нескольких серверов 1С?
Нет, каждый экземпляр агента сервера 1С, работающий на одном IP-адресе, должен иметь уникальный номер порта. Если вы запускаете несколько кластеров на одной машине, им нужно назначить разные порты (например, 8361, 8362, 8363), чтобы избежать конфликта привязки сокетов.
Почему 1С не видит сервер лицензий, хотя порт открыт?
Помимо открытия порта (обычно 8084 или 8088), необходимо убедиться, что в файле nethasp.ini на клиенте или сервере правильно прописан IP-адрес сервера лицензий. Также проверьте, запущена ли служба «Сервер лицензий 1С:Предприятия 8.3».
Какой порт используется для обмена данными между филиалами (РИБ)?
Для распределенных информационных баз (РИБ) обмен может идти через файлы, FTP или HTTP/HTTPS. Если используется веб-сервер для обмена, применяются стандартные порты 80 или 443. Прямое соединение между серверами 1С для РИБ обычно не требует открытия порта 8361 наружу, обмен инициируется через веб-публикацию.
Как узнать, какой порт использует конкретная база в списке 1С?
В списке баз данных 1С порт указывается в строке подключения для клиент-серверного варианта. Формат строки: SrvName\SrcName:Port/DbName. Если порт не указан явно, подразумевается стандартное значение 8361. Для файлового варианта порт не используется.
Нужно ли открывать порты для работы через терминальный сервер (RDP)?
Для работы через RDP (Remote Desktop Protocol) используется стандартный порт 3389. Этот порт должен быть открыт на сервере для подключения пользователей. Однако сама 1С внутри сессии RDP будет использовать локальные порты (8361), которые не обязательно открывать наружу, если пользователи не подключаются к базе напрямую со своих ПК.