Какие порты открыть для сервера 1С 8.3 в брандмауэре

Сервер 1С 8.3 работает по сети и использует несколько TCP-портов для взаимодействия компонентов. Если в брандмауэре заблокированы нужные порты, клиенты не подключатся к базе, кластер серверов не запустится, а резервное копирование не сработает.

В этой статье — полный список портов для всех компонентов 1С 8.3, пошаговые инструкции по настройке брандмауэра Windows и firewall Linux, проверка доступности портов и типичные ошибки.

Полный список портов для 1С 8.3

Компоненты сервера 1С используют фиксированные порты и динамические диапазоны. Фиксированные порты задаются в настройках кластера, динамические выделяются автоматически при старте рабочих процессов.

Компонент	Порт по умолчанию	Протокол	Направление	Назначение
Агент сервера (ragent)	1540	TCP	Входящие	Управление кластером серверов 1С
Менеджер кластера (rmngr)	1541	TCP	Входящие	Центральный сервер кластера
Рабочие процессы (rphost)	1560–1591	TCP	Входящие	Обработка клиентских подключений
Сервер лицензирования	1540	TCP	Входящие	Проверка лицензий клиентов
Веб-сервер (Apache/IIS)	80, 443	TCP	Входящие	HTTP/HTTPS публикация баз
Консоль кластера	1545	TCP	Исходящие	Администрирование через rac/ring
Хранилище конфигурации	1542	TCP	Входящие/исходящие	Версионирование конфигураций
Сервис публикации отчетов	1550	TCP	Входящие	Формирование отчетов на сервере

Порты рабочих процессов (1560–1591) выделяются динамически. Количество процессов зависит от настроек кластера — по умолчанию 1С создаёт 4 процесса rphost на каждый рабочий сервер. Для подключения 50 пользователей достаточно открыть диапазон 1560–1570.

Порты для SQL Server

Если базы 1С работают на Microsoft SQL Server, откройте дополнительные порты для взаимодействия с СУБД.

Сервис	Порт по умолчанию	Протокол	Назначение
SQL Server (экземпляр по умолчанию)	1433	TCP	Подключение к базам данных
SQL Server Browser	1434	UDP	Поиск именованных экземпляров SQL
SQL Server Analysis Services	2383	TCP	OLAP и аналитика
SQL Server Reporting Services	80, 443	TCP	Веб-интерфейс отчетов
Группы доступности AlwaysOn	5022	TCP	Репликация в кластере SQL

Именованные экземпляры SQL Server используют динамические порты — если создали экземпляр SQL_1C, назначьте ему статический порт (например, 1435) в SQL Server Configuration Manager. Иначе порт будет меняться после каждой перезагрузки службы.

Порты для PostgreSQL

Для серверов 1С на PostgreSQL откройте следующие порты.

Сервис	Порт по умолчанию	Протокол	Назначение
PostgreSQL	5432	TCP	Подключение к базам данных
PostgreSQL Streaming Replication	5432	TCP	Репликация баз между серверами
pgAdmin (веб-интерфейс)	5050	TCP	Администрирование через браузер
pgBouncer (пулер соединений)	6432	TCP	Управление подключениями

В файле конфигурации postgresql.conf параметр listen_addresses должен включать IP-адрес сервера 1С. Если PostgreSQL слушает только localhost (127.0.0.1), подключения из сети не пройдут даже при открытых портах.

Настройка брандмауэра Windows для 1С 8.3

После настройки проверьте список правил командой:

Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*1C*"}

Настройка firewall в Linux для 1С 8.3

Проверка доступности портов

После настройки брандмауэра проверьте, что порты сервера 1С доступны из сети.

Проверка с сервера (локальная)

Посмотрите, на каких портах слушают процессы 1С:

Windows:

netstat -an | findstr "1540 1541 1560"

Linux:

sudo ss -tulpn | grep -E "1540|1541|1560"

Вывод должен содержать строки вида:

tcp LISTEN 0.0.0.0:1540

tcp LISTEN 0.0.0.0:1541

Если порты в статусе LISTEN, сервер 1С запущен и принимает подключения.

Проверка с клиентского компьютера (удалённая)

Используйте утилиту telnet или Test-NetConnection (PowerShell).

Windows (PowerShell):

Test-NetConnection -ComputerName 192.168.1.10 -Port 1540

Если вывод содержит TcpTestSucceeded : True, порт доступен.

Linux/macOS:

telnet 192.168.1.10 1540

Успешное подключение означает, что порт открыт. Если соединение отклонено или таймаут, проверьте правила брандмауэра.

Автоматическая проверка всех портов

Сохраните скрипт для массовой проверки портов 1С:

PowerShell:

$server = "192.168.1.10"
$ports = 1540,1541,1560,1561,1562,1563,1564,1565,1433,5432

foreach ($port in $ports) {
    $result = Test-NetConnection -ComputerName $server -Port $port -WarningAction SilentlyContinue
    if ($result.TcpTestSucceeded) {
        Write-Host "Порт $port: доступен" -ForegroundColor Green
    } else {
        Write-Host "Порт $port: недоступен" -ForegroundColor Red
    }
}

Bash (Linux/macOS):

#!/bin/bash
server="192.168.1.10"
ports=(1540 1541 1560 1561 1562 1563 1564 1565 1433 5432)

for port in "${ports[@]}"; do
    timeout 2 bash -c "echo > /dev/tcp/$server/$port" 2>/dev/null && \
    echo "Порт $port: доступен" || echo "Порт $port: недоступен"
done

Дополнительные настройки для работы в распределённом кластере

Если сервер 1С развёрнут в кластере из нескольких физических машин, настройте сетевое взаимодействие между узлами.

Порты для взаимодействия узлов кластера:

• 1540–1541 — агенты серверов и менеджер кластера должны видеть друг друга на всех узлах.
• 1560–1591 — рабочие процессы на разных узлах обмениваются данными при балансировке нагрузки.
• 1542 — хранилище конфигурации (если используется централизованное хранилище).

В распределённом кластере каждый узел должен иметь доступ к портам других узлов. Откройте порты не только для внешних подключений (клиенты), но и для внутренних (межсерверное взаимодействие).

Для надёжной работы кластера используйте серверы с отказоустойчивой конфигурацией — резервированные блоки питания, RAID-массивы, дублирование сетевых карт. Если один узел выйдет из строя, остальные продолжат обрабатывать запросы.

Безопасность: ограничение доступа по IP-адресам

По умолчанию правила брандмауэра разрешают подключения с любых IP-адресов. Для защиты сервера 1С ограничьте доступ только доверенными адресами.

Windows (PowerShell):

Создайте правило, разрешающее подключения только из подсети 192.168.1.0/24:

New-NetFirewallRule -DisplayName "1C Server (Trusted Network)" -Direction Inbound -Protocol TCP -LocalPort 1540-1591 -RemoteAddress 192.168.1.0/24 -Action Allow

Linux (firewalld):

Создайте зону для доверенной сети:

sudo firewall-cmd --permanent --new-zone=1c_trusted
sudo firewall-cmd --permanent --zone=1c_trusted --add-source=192.168.1.0/24
sudo firewall-cmd --permanent --zone=1c_trusted --add-port=1540-1591/tcp
sudo firewall-cmd --reload

Linux (iptables):

Добавьте правила с проверкой источника:

sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 1540:1591 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 1540:1591 -j DROP

Первое правило разрешает подключения из доверенной сети, второе блокирует все остальные.

Настройка портов для веб-публикации 1С

Если базы 1С доступны через веб-браузер (тонкий клиент через Apache или IIS), откройте порты для HTTP/HTTPS.

Сервис	Порт	Протокол	Назначение
Веб-сервер Apache/IIS (HTTP)	80	TCP	Незащищённое подключение
Веб-сервер Apache/IIS (HTTPS)	443	TCP	Защищённое подключение (SSL/TLS)
Модуль публикации 1С (ws)	1560–1591	TCP	Связь веб-сервера с рабочими процессами

Веб-сервер принимает запросы на порту 80 или 443, затем пересылает их на рабочие процессы 1С через порты 1560–1591. Убедитесь, что оба компонента доступны.

Настройка HTTPS:

1. Получите SSL-сертификат (от коммерческого центра сертификации или самоподписанный).
2. Установите сертификат на веб-сервер.
3. В конфигурации веб-публикации 1С укажите HTTPS как основной протокол.
4. Перенаправьте трафик с HTTP (порт 80) на HTTPS (порт 443).

Для защиты данных пользователей используйте только HTTPS — незашифрованный HTTP передаёт пароли и данные в открытом виде.

Оптимизация производительности: выделенные сетевые интерфейсы

На высоконагруженных серверах 1С используйте несколько сетевых карт для разделения трафика.

Типовая схема:

• Сетевая карта 1 (клиентский трафик): подключения пользователей к базам 1С (порты 1540–1591).
• Сетевая карта 2 (служебный трафик): связь с SQL Server / PostgreSQL, резервное копирование, репликация (порты 1433, 5432).
• Сетевая карта 3 (управление): администрирование сервера, мониторинг (RDP, SSH).

Разделение трафика снижает конкуренцию за пропускную способность и повышает отказоустойчивость. Если одна карта выйдет из строя, сервер продолжит работать через резервный интерфейс.

Для распределения нагрузки между картами используйте технологии NIC Teaming (Windows Server) или bonding (Linux). Сетевые адаптеры с поддержкой агрегации каналов позволяют объединить несколько портов в один логический интерфейс с суммарной пропускной способностью.

Интеграция с внешними системами: дополнительные порты

Если сервер 1С обменивается данными с внешними системами (CRM, ERP, банки, ФНС), откройте порты для интеграционных сервисов.

Сервис	Порт	Протокол	Назначение
SOAP/REST API 1С	80, 443	TCP	Веб-сервисы для обмена данными
SMTP (отправка почты)	25, 587	TCP	Отправка уведомлений и отчётов
IMAP/POP3 (приём почты)	143, 993, 110, 995	TCP	Загрузка писем в базу 1С
FTP/SFTP (обмен файлами)	21, 22	TCP	Загрузка прайс-листов, выгрузка данных
Сервисы ФНС (ОФД, ЕГАИС)	443	TCP	Передача фискальных данных

Для интеграции с банк-клиентом откройте исходящие подключения на порты банковских шлюзов (обычно 443 для HTTPS). Уточните требования в документации вашего банка.

Мониторинг портов: автоматическое оповещение о проблемах

Настройте систему мониторинга, чтобы отслеживать доступность портов сервера 1С в реальном времени.

Инструменты для мониторинга:

• Zabbix — опрашивает порты через TCP-проверки, отправляет уведомления при недоступности.
• Nagios / Icinga — проверяет доступность портов, мониторит загрузку сети.
• PRTG Network Monitor — визуализирует состояние портов, графики пропускной способности.
• Prometheus + Grafana — собирает метрики, строит дашборды.

Пример проверки в Zabbix:

1. Создайте шаблон «Мониторинг 1С Сервер».
2. Добавьте элементы данных типа «Simple check» для портов 1540, 1541, 1560.
3. Настройте триггеры: если порт недоступен более 5 минут, отправить email/SMS администратору.

Автоматический мониторинг сокращает время реакции на сбои — вы узнаете о проблеме раньше, чем пользователи начнут жаловаться.

Частые ошибки при настройке портов для 1С

Ошибка 1: Открыты порты, но клиенты не подключаются

Причина: служба «Агент сервера 1С» не запущена или слушает только localhost (127.0.0.1).

Решение: откройте файл конфигурации кластера (cluster.ini или параметры запуска ragent), проверьте параметр --tcp-port=1540 и адрес прослушивания. Перезапустите службу:

Windows:

Restart-Service -Name "1C:Enterprise 8.3 Server Agent"

Linux:

sudo systemctl restart srv1cv83

Ошибка 2: Рабочие процессы используют случайные порты

Причина: в настройках кластера не задан фиксированный диапазон портов для rphost.

Решение: в консоли кластера (ring или rac) задайте диапазон портов:

rac cluster update --cluster=<uuid> --port-range=1560:1591

После изменения перезапустите рабочие процессы.

Ошибка 3: SQL Server недоступен из сети

Причина: в SQL Server Configuration Manager отключён протокол TCP/IP или сервер слушает только локальный адрес.

Решение:

1. Откройте SQL Server Configuration Manager.
2. Перейдите в раздел «SQL Server Network Configuration» → «Protocols for [имя экземпляра]».
3. Включите протокол TCP/IP.
4. В свойствах TCP/IP на вкладке «IP Addresses» найдите секцию IPALL, укажите порт 1433.
5. Перезапустите службу SQL Server.

Ошибка 4: Брандмауэр блокирует исходящие подключения

Причина: политика брандмауэра запрещает исходящий трафик (по умолчанию Windows разрешает, Linux — зависит от настроек).

Решение: создайте правило для исходящих подключений на порты СУБД (1433 или 5432):

Windows:

New-NetFirewallRule -DisplayName "SQL Server Outbound" -Direction Outbound -Protocol TCP -RemotePort 1433 -Action Allow

Linux (iptables):

sudo iptables -A OUTPUT -p tcp --dport 1433 -j ACCEPT

Ошибка 5: Антивирус блокирует порты

Причина: встроенный фаервол антивируса (Kaspersky, ESET, Dr.Web) блокирует подключения к портам 1С.

Решение: добавьте исключения в настройках антивируса:

• Разрешите сетевую активность для процессов ragent.exe, rmngr.exe, rphost.exe, sqlservr.exe, postgres.exe.
• Откройте порты 1540–1591, 1433, 5432 в фаерволе антивируса.

Ошибка 6: Порты открыты, но тормозит сеть

Причина: перегружен канал между сервером 1С и клиентами, недостаточная пропускная способность сетевых карт.

Решение:

• Проверьте загрузку сети командой netstat -e (Windows) или ifconfig (Linux).
• Если загрузка близка к 100%, установите гигабитные или 10-гигабитные сетевые адаптеры.
• Переместите СУБД на отдельный сервер с выделенным сетевым интерфейсом.

Рекомендации по выбору оборудования для сервера 1С

Производительность сервера 1С зависит не только от настройки портов, но и от аппаратной конфигурации.

Типовые требования для 50 пользователей:

• Процессор: Intel Xeon или AMD EPYC, от 8 ядер (рабочие процессы 1С многопоточные).
• Оперативная память: от 32 ГБ (по 1 ГБ на каждые 5 пользователей + 8 ГБ для ОС и СУБД).
• Диски: SSD NVMe для баз данных (минимум 500 ГБ), HDD SATA для резервных копий.
• Сетевые карты: минимум 2 порта Gigabit Ethernet, лучше 10 GbE для кластеров.
• RAID: RAID 10 для баз данных (производительность + отказоустойчивость).

Для масштабирования используйте конфигуратор серверов — подберите оптимальную конфигурацию под количество пользователей и объём данных.

Если планируете развёртывать распределённый кластер 1С, закажите несколько идентичных серверных платформ — упростит балансировку нагрузки и резервирование.

Частые вопросы