Сервер 1С:Предприятие использует несколько десятков портов для обмена данными между компонентами кластера, клиентами и веб-сервером. Если хотя бы один порт заблокирован брандмауэром, работа системы останавливается: клиенты не подключаются, базы зависают, веб-приложения отдают ошибки. Разбираемся, какие порты нужны для каждого компонента, как правильно настроить брандмауэр Windows и что делать, если подключение всё равно не работает.
Портовая карта кластера 1С: обязательные порты
Кластер серверов 1С состоит из нескольких компонентов, каждый из которых слушает свои порты. Разберём основные группы портов и их назначение.
Агент сервера (ragent)
Агент сервера — основной процесс, который управляет кластером. По умолчанию использует порт 1540/tcp. Этот порт должен быть открыт на всех серверах кластера, чтобы агенты могли обмениваться данными между собой. Если в инфраструктуре несколько серверов 1С, агенты синхронизируются через этот порт.
Менеджер кластера (rmngr)
Менеджер кластера отвечает за управление рабочими процессами и распределение нагрузки. Использует порт 1541/tcp. Через этот порт консоль администрирования и утилиты управления кластером (например, rac) подключаются к кластеру для настройки баз, управления сеансами и мониторинга.
Диапазон рабочих процессов (rphost)
Рабочие процессы обрабатывают запросы клиентов и выполняют код 1С. По умолчанию используют порты из диапазона 1560–1591/tcp. Количество рабочих процессов настраивается в консоли кластера. Если запущено 10 рабочих процессов, будет занято 10 портов из этого диапазона. Для крупных инсталляций диапазон можно расширить до 1560–1600 или выше.
Служба RAS (Remote Administration Server)
RAS-сервер используется для удалённого администрирования кластера через тонкий клиент или веб-консоль. По умолчанию слушает порт 1545/tcp. Если планируется управлять кластером удалённо (например, с рабочей станции администратора), этот порт нужно открыть.
| Компонент | Порт | Протокол | Назначение |
|---|---|---|---|
| Агент сервера (ragent) | 1540 | TCP | Управление кластером, синхронизация агентов |
| Менеджер кластера (rmngr) | 1541 | TCP | Подключение консоли администрирования, утилиты rac |
| Рабочие процессы (rphost) | 1560–1591 | TCP | Обработка запросов клиентов 1С |
| RAS-сервер | 1545 | TCP | Удалённое администрирование кластера |
| Консоль кластера (debug) | 1550 | TCP | Отладка и диагностика (опционально) |
Порты веб-сервера и публикации 1С
Если используется веб-клиент 1С или публикация баз через HTTP, дополнительно задействуются порты веб-сервера. Разберём сценарии для Apache и IIS.
Apache + mod_apache_1c
При установке модуля mod_apache_1c для Apache, веб-сервер слушает стандартный порт 80/tcp (HTTP) или 443/tcp (HTTPS). Модуль перенаправляет запросы к рабочим процессам кластера через порты 1560–1591. В конфигурации Apache указывается адрес кластера и диапазон портов.
IIS + расширение 1С
На Windows Server с IIS используется расширение для публикации баз 1С. IIS также слушает порты 80 и 443. Дополнительно нужно открыть порты для взаимодействия IIS с кластером: 1540, 1541 и диапазон рабочих процессов. Если IIS и сервер 1С находятся на разных машинах, брандмауэр должен пропускать трафик между ними.
Прямое подключение веб-клиента
В некоторых конфигурациях веб-клиент подключается напрямую к рабочим процессам без Apache/IIS. В этом случае порты 1560–1591 должны быть доступны извне. Этот сценарий используется редко, так как не обеспечивает балансировку нагрузки и безопасность.
Как открыть порты в брандмауэре Windows
Настройка брандмауэра Windows Server — обязательный этап при установке 1С. Рассмотрим два способа: через графический интерфейс и командную строку.
Способ 1: Через «Брандмауэр Windows в режиме повышенной безопасности»
- Откройте «Панель управления» → «Система и безопасность» → «Брандмауэр Защитника Windows» → «Дополнительные параметры».
- В левой панели выберите «Правила для входящих подключений», в правой — «Создать правило».
- Выберите тип правила «Для порта», нажмите «Далее».
- Укажите протокол TCP, в поле «Определённые локальные порты» введите
1540, 1541, 1545, 1560-1591. - Выберите действие «Разрешить подключение», нажмите «Далее».
- Укажите профили, для которых применяется правило (обычно «Доменный» и «Частный»), нажмите «Далее».
- Задайте имя правила, например «1С:Предприятие 8.3 — кластер», нажмите «Готово».
Способ 2: Через PowerShell (для автоматизации)
Если нужно настроить несколько серверов, удобнее использовать PowerShell-скрипт. Откройте PowerShell от имени администратора и выполните команды:
-
Создайте правило для агента, менеджера и RAS:
New-NetFirewallRule -DisplayName "1C Server - Agent/Manager/RAS" ` -Direction Inbound -Protocol TCP -LocalPort 1540,1541,1545 -Action Allow -
Создайте правило для рабочих процессов:
New-NetFirewallRule -DisplayName "1C Server - Working Processes" ` -Direction Inbound -Protocol TCP -LocalPort 1560-1591 -Action Allow -
Если используется веб-публикация, добавьте правило для HTTP/HTTPS:
New-NetFirewallRule -DisplayName "Web Server - HTTP/HTTPS" ` -Direction Inbound -Protocol TCP -LocalPort 80,443 -Action Allow
После создания правил проверьте их в консоли брандмауэра: они должны отображаться в списке «Правила для входящих подключений» с зелёной галочкой.
Настройка портов в Linux (Ubuntu/CentOS)
На серверах Linux для управления портами используются iptables или firewalld (в зависимости от дистрибутива). Рассмотрим оба варианта.
Для Ubuntu с ufw
Если используется ufw (Uncomplicated Firewall), выполните команды:
sudo ufw allow 1540/tcp comment '1C Agent'
sudo ufw allow 1541/tcp comment '1C Manager'
sudo ufw allow 1545/tcp comment '1C RAS'
sudo ufw allow 1560:1591/tcp comment '1C Working Processes'
sudo ufw reloadДля CentOS/RHEL с firewalld
На системах с firewalld добавьте порты в зону по умолчанию:
firewall-cmd --permanent --add-port=1540/tcp
firewall-cmd --permanent --add-port=1541/tcp
firewall-cmd --permanent --add-port=1545/tcp
firewall-cmd --permanent --add-port=1560-1591/tcp
firewall-cmd --reloadДиагностика блокировки портов: что делать, если подключение не работает
Даже если порты открыты в брандмауэре, подключение может не работать из-за неправильной конфигурации, антивируса или сетевых политик. Разберём типовые проблемы и методы диагностики.
Проверка доступности порта через telnet
Самый простой способ — проверить, отвечает ли сервер на подключение. С клиентской машины выполните:
telnet 192.168.1.10 1540Замените 192.168.1.10 на IP сервера 1С. Если порт открыт, увидите пустой экран или сообщение о подключении. Если «Не удаётся открыть подключение» — порт заблокирован.
Проверка прослушиваемых портов на сервере
Убедитесь, что процессы 1С действительно слушают порты. На Windows выполните в PowerShell:
netstat -an | findstr "154"Должны отобразиться строки с портами 1540, 1541, 1545 в состоянии LISTENING. На Linux используйте:
ss -tulnp | grep 154Логи кластера и рабочих процессов
Если подключение не устанавливается, проверьте логи кластера. На Windows они находятся в C:\Program Files\1cv8\srvinfo\reg_1541\, на Linux — в /opt/1cv8/x86_64/8.3.x.xxxx/conf/. Ищите ошибки вида «Не удалось установить соединение с рабочим процессом» или «Timeout connecting to port».
Антивирус и сетевой экран провайдера
Корпоративные антивирусы (Kaspersky Endpoint Security, ESET) могут блокировать нестандартные порты. Добавьте процессы ragent.exe, rphost.exe и rmngr.exe в исключения антивируса. Если сервер находится в облаке (например, на виртуальной машине), проверьте настройки Security Groups или сетевых политик провайдера.
Типовые конфигурации серверов для 1С
Выбор конфигурации сервера зависит от количества пользователей и нагрузки. Для стабильной работы 1С нужен сервер с достаточным объёмом оперативной памяти и производительным процессором. Рассмотрим рекомендуемые конфигурации.
| Количество пользователей | Процессор | Оперативная память | Диски | Рекомендуемая конфигурация |
|---|---|---|---|---|
| До 10 пользователей | 4 ядра (Xeon E-2100) | 16 ГБ | RAID 1 (2×480 ГБ SSD) | Однопроцессорный сервер начального уровня |
| 10–50 пользователей | 8–12 ядер (Xeon Silver 4200) | 32–64 ГБ | RAID 10 (4×960 ГБ SSD) | Двухпроцессорный сервер с резервированием |
| 50–100 пользователей | 16–24 ядра (Xeon Gold 5200) | 128–256 ГБ | RAID 10 (4×1.92 ТБ SSD) | Высокопроизводительный сервер с кластером |
| 100+ пользователей | 32+ ядер (Xeon Gold 6200) | 512 ГБ и более | RAID 10 (8×3.84 ТБ NVMe) | Кластер из нескольких серверов с балансировкой |
Для крупных инсталляций рекомендуем выделить отдельный сервер под SQL Server или PostgreSQL (если используется внешняя СУБД). В этом случае база данных будет на одной машине, а рабочие процессы 1С — на другой. Это снижает нагрузку на диски и улучшает производительность.
При выборе компонентов обратите внимание на оперативную память серверного класса с поддержкой ECC — она предотвращает потерю данных из-за битовых ошибок. Для дисковой подсистемы используйте SSD-накопители с высоким ресурсом записи (класса Enterprise), так как база 1С генерирует интенсивную нагрузку на диски.
Частые ошибки при настройке портов
Рассмотрим типичные проблемы, с которыми сталкиваются администраторы при настройке портов сервера 1С, и способы их решения.
Не открыт диапазон портов для рабочих процессов
Администраторы часто открывают только порты 1540 и 1541, забывая про диапазон 1560–1591. В результате клиенты подключаются к кластеру, но при попытке открыть базу получают ошибку «Не удалось установить соединение с информационной базой». Решение: откройте весь диапазон 1560–1591 или задайте фиксированный набор портов в конфигурации кластера.
Порты открыты только для профиля «Общий»
В брандмауэре Windows есть три профиля: «Доменный», «Частный» и «Общий». Если правило создано только для профиля «Общий», а сервер находится в домене Active Directory, правило не применится. Проверьте, что правила активны для нужных профилей (обычно «Доменный» и «Частный»).
Не настроен исходящий трафик
По умолчанию брандмауэр Windows разрешает весь исходящий трафик, но если политика безопасности изменена, исходящие подключения также могут блокироваться. Убедитесь, что в правилах для исходящих подключений нет блокировки портов 1540–1591.
Порты заняты другими приложениями
Если на сервере уже работает приложение, использующее порты из диапазона 1С, кластер не запустится. Проверьте занятые порты командой netstat -abn (Windows) или ss -tulnp (Linux). Если порт занят, либо измените настройки конфликтующего приложения, либо переконфигурируйте кластер 1С на другой диапазон.
Дополнительные порты для кластера
Помимо основных портов, в некоторых конфигурациях используются дополнительные службы. Рассмотрим их.
Порты для кластера серверов 1С (многосерверная конфигурация)
Если кластер состоит из нескольких физических серверов, агенты обмениваются данными между собой через порт 1540. Каждый сервер кластера должен видеть порт 1540 на других серверах. Настройте правила брандмауэра так, чтобы трафик между серверами был разрешён.
Порты для сервера лицензирования
Если используется сетевая лицензия 1С, сервер лицензирования (защита HASP) слушает порт 1947/tcp. Клиенты и серверы кластера должны иметь доступ к этому порту, иначе лицензии не будут выдаваться.
Порты для внешних подключений (COM, OLE)
При использовании COM-подключений или внешних обработок, обращающихся к 1С через OLE, могут задействоваться дополнительные порты. Обычно это динамические порты из диапазона 49152–65535 (Windows) или 32768–60999 (Linux). Если такие подключения нужны, настройте правила брандмауэра для этих диапазонов или используйте фиксированные порты.
Безопасность: как ограничить доступ к портам
Открывать порты 1С для всего интернета опасно: это открывает доступ к управлению кластером и данным. Рассмотрим рекомендации по ограничению доступа.
Разрешите доступ только с доверенных IP
В правилах брандмауэра укажите конкретные IP-адреса или подсети, которым разрешён доступ. Например, если клиенты подключаются из подсети 192.168.10.0/24, создайте правило только для этой подсети. В PowerShell:
New-NetFirewallRule -DisplayName "1C - Local Network Only" `
-Direction Inbound -Protocol TCP -LocalPort 1540-1591 `
-RemoteAddress 192.168.10.0/24 -Action AllowИспользуйте VPN для удалённого доступа
Если администраторы подключаются к кластеру из внешней сети, настройте VPN-подключение (например, OpenVPN или WireGuard). После подключения к VPN администратор окажется в локальной сети и сможет управлять кластером. Порты 1С при этом не нужно открывать в интернет.
Отключите RAS-сервер, если не используется
Если удалённое администрирование через RAS не требуется, отключите службу RAS и закройте порт 1545. Это уменьшит поверхность атаки.
Мониторинг портов и подключений
Для контроля работы кластера и своевременного обнаружения проблем настройте мониторинг портов и активных подключений. Это особенно важно для крупных инсталляций.
Инструменты мониторинга
Используйте системы мониторинга (Zabbix, Nagios, PRTG), чтобы отслеживать доступность портов 1540, 1541, 1560–1591. Настройте алерты на недоступность портов — это поможет быстро выявить проблемы с брандмауэром или кластером.
Логирование подключений
Включите логирование подключений в брандмауэре для правил 1С. Это позволит отслеживать, откуда и когда происходят подключения к кластеру. В случае инцидентов безопасности логи помогут найти источник атаки.
Периодическая проверка правил
После обновления Windows Server или изменения политик безопасности правила брандмауэра могут быть сброшены или изменены. Настройте автоматическую проверку правил (например, через скрипт PowerShell), чтобы убедиться, что порты остаются открытыми.
Вопросы и ответы
Какие порты нужно открыть для работы кластера 1С на одном сервере?
Для работы кластера 1С на одном сервере откройте порты: 1540 (агент сервера), 1541 (менеджер кластера), 1560–1591 (рабочие процессы). Если планируется удалённое администрирование, дополнительно откройте порт 1545 (RAS-сервер). Для веб-публикации баз — порты 80 и 443.
Можно ли изменить стандартные порты кластера 1С?
Да, порты можно изменить через конфигурационный файл кластера или при установке сервера 1С. Измените порты агента, менеджера и диапазон рабочих процессов в файле конфигурации (srvinfo/reg_1541/1CV8Clst.lst на Windows или conf/1CV8Clst.lst на Linux). После изменения перезапустите службы кластера.
Как проверить, что порты сервера 1С не заблокированы брандмауэром?
С клиентской машины выполните команду telnet с указанием IP-адреса сервера и порта (например, telnet 192.168.1.10 1540). Если порт открыт, подключение установится. Также проверьте на самом сервере командой netstat -an | findstr «154» (Windows) или ss -tulnp | grep 154 (Linux) — должны отобразиться порты в состоянии LISTENING.
Итоги: чек-лист настройки портов
Правильная настройка портов — основа стабильной работы сервера 1С. Проверьте, что выполнены следующие шаги:
- Открыты порты 1540, 1541, 1560–1591 в брандмауэре (входящие подключения).
- Для веб-публикации открыты порты 80 и 443.
- Правила применены к нужным профилям брандмауэра («Доменный», «Частный»).
- Порты доступны только с доверенных IP-адресов или подсетей.
- Процессы ragent, rmngr, rphost слушают указанные порты (проверено через netstat/ss).
- Логи кластера не содержат ошибок подключения.
- Настроен мониторинг доступности портов.
Если планируется развёртывание кластера на нескольких серверах, убедитесь, что сетевые адаптеры поддерживают необходимую пропускную способность (желательно 10 Гбит/с для крупных инсталляций). Для повышения отказоустойчивости используйте резервные блоки питания и настройте автоматическое переключение на резервный сервер при сбое.
Если после настройки портов остались проблемы с подключением, обратите внимание на конфигурацию кластера, версию платформы 1С и совместимость с операционной системой. Иногда проблема не в брандмауэре, а в устаревшей версии сервера или несовместимости компонентов.
