Nejlepší bezplatný firewall pro Linux VPS není jeden nástroj. Je to hostitelský firewall (vrstva, kterou potřebuje každý server) a pokud provozujete webovou aplikaci, ještě web application firewall navrch. Tento průvodce se věnuje oběma, jmenuje nejsilnější bezplatné nebo open-source možnosti firewallů pro každou vrstvu a uvádí, co vás každá z nich stojí na RAM a úsilí při nastavení. Je zaměřen na provozovatele Linux VPS. Není to přehled pro Windows.
Zkrácená verze
- „Nejlepší bezplatný firewall" znamená čtyři různé produkty: hostitelské firewally pro Linux, síťové firewallové distribuce, web application firewally (WAF) a spotřebitelské nástroje pro Windows. Na VPS patří jen první a třetí.
- Na hostitelské vrstvě použijte nejjednodušší nástroj, který se hodí k vaší distribuci: UFW na Ubuntu, firewalld na rodině RHEL a na Debianu buď UFW, nebo přímo nftables podle toho, kolik kontroly potřebujete. Moderní frontendové nástroje obecně stojí na nftables, ale nftables samotný je na Debianu výchozím a doporučeným frameworkem.
- WAF je samostatná, doplňková vrstva pro webové aplikace. Není náhradou hostitelského firewallu.
- SafeLine je nejlehčí bezplatný WAF (1 GB RAM). BunkerWeb má nejvíce funkcí, ale chce 8 GB. Haltdos Community je třetí bezplatná možnost s webovým UI.
Co tento průvodce vynechává
Několik kategorií firewallů, které se objevují v jiných seznamech „nejlepších bezplatných firewallů", zde neplatí, a jejich jednorázové pojmenování vás ušetří honby za nesprávným nástrojem.
- Firewally pro Windows a spotřebitelské koncové firewally (ZoneAlarm, Comodo, TinyWall). Špatný operační systém, špatný stroj.
- Placené komerční a podnikové firewally (Cisco ASA, Palo Alto, Fortinet). Mimo rámec „bezplatných".
- Cloudové WAF SaaS (Cloudflare, Sucuri). Platné, ale založené na DNS/proxy a mimo rámec tohoto self-hostovaného VPS. Cloudflare sice nabízí bezplatnou základní sadu pravidel WAF, ale plnější pokrytí spravovanými pravidly a sadou OWASP závisí na tarifu.
- Provozování pfSense nebo OPNsense jako brány na sdíleném VPS. Architektonicky nevhodné bez NIC passthrough. Vysvětleno v sekci o síťových distribucích.
Co vlastně znamená „nejlepší bezplatný firewall" (čtyři kategorie)
Důvod, proč vás hledaný výraz posílá do kruhu, je ten, že pokrývá čtyři produkty, které řeší čtyři různé problémy na čtyřech různých strojích. Nejprve se zařaďte do kategorie, teprve pak vybírejte nástroj.
- Hostitelské/VPS firewally pro Linux: software, který běží na stejném stroji jako vaše služby a řídí, které porty jsou dostupné. UFW, firewalld a nftables. Toto je vrstva, kterou potřebuje každý VPS.
- Síťové firewallové distribuce: kompletní operační systémy postavené kolem firewallového jádra, nasazené na vyhrazeném stroji nebo VM k ochraně celé sítě. OPNsense, pfSense, IPFire. Ty jsou pro homelab nebo kancelářskou LAN, ne pro VPS, který se snažíte chránit.
- Web application firewally (WAF): reverzní proxy, které kontrolují HTTP provoz kvůli útokům na webové vrstvě, jako je SQL injection, XSS a zbytek OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Ty jsou pro webovou aplikaci nebo API běžící na vašem VPS.
- Spotřebitelské/koncové firewally pro Windows: desktopový software, který na Windows řídí přístup k internetu pro jednotlivé aplikace. Zmíněn zde jen proto, aby byl vyloučen.
Pro VPS jsou to kategorie 1 a 3, které provozujete. Kategorie 2 běží na jiném stroji. Kategorie 4 běží na jiném operačním systému. Správná bezplatná nebo open-source možnost firewallu pro vaši situaci je ten nástroj z kategorie 1, a případně kategorie 3, který se hodí k vaší distribuci a vašemu provozu.
Rychlý verdikt: Pro většinu provozovatelů VPS použijte UFW pro hostitele a přidejte SafeLine, pokud provozujete webovou aplikaci a chcete WAF bez nutnosti stavět 8GB server.
Klíčové ponaučení sekce: Na VPS si vybíráte mezi hostitelskými firewally a WAF. Síťové distribuce a spotřebitelské nástroje jsou různé produkty pro různé stroje.
Hostitelské firewally: UFW vs nftables vs firewalld
Hostitelský firewall je jedna vrstva, kterou vždy potřebujete. Řídí, které porty na vašem serveru přijímají spojení, a na čerstvém VPS je to rozdíl mezi uzamčeným strojem a otevřeným. Na Ubuntu je tímto firewallem obvykle UFW. Na distribucích z rodiny RHEL je to firewalld. Na Debianu je UFW jednoduchým frontendem hostitelského firewallu, ale výchozím a doporučeným firewallovým frameworkem Debianu je nftables.
Tři možnosti se čistě dělí podle distribuce a podle toho, kolik kontroly potřebujete:
| Nástroj | Výchozí pro distribuci | Rozhraní | Nejlepší pro | Složitost |
|---|---|---|---|---|
| UFW | Ubuntu, běžná jednoduchá volba na Debianu | CLI | Jeden VPS, běžný případ | Nízká |
| firewalld | RHEL, CentOS, AlmaLinux, Rocky | CLI (na základě zón) + systemd | Servery z rodiny RHEL, pravidla na základě zón | Střední |
| nftables | Jádro pod oběma | Konfigurační soubor / CLI | Tisíce pravidel, jemná kontrola, vysoká propustnost | Vysoká |
UFW je výchozí nástroj pro konfiguraci firewallu v Ubuntu a běžná jednoduchá volba na Debianu, ale výchozím firewallovým frameworkem Debianu je nftables. Pro jeden VPS je UFW stále nejsnazší výchozí bod, když potřebujete jen malou sadu pravidel povolit/zamítnout. CLI je nejjednodušší ze tří, pravidla automaticky přetrvávají po restartech a několik příkazů pokryje vše, co většina provozovatelů VPS potřebuje. Jeho limitem jsou pokročilá pravidla: složitá logika založená na množinách nebo jemné porovnávání je v UFW nepohodlné.
firewalld je výchozí na RHEL, CentOS, AlmaLinux a Rocky. Je založený na zónách, integruje se se systemd a je schopnější než UFW při segmentaci provozu podle rozhraní nebo úrovně důvěry. Tato síla stojí čas na nastavení. Pokud jste na VPS z rodiny RHEL, firewalld už tam je a je cestou nejmenšího odporu.
nftables je jádro na úrovni jádra, které stojí pod oběma. Používáte ho přímo, když skutečně potřebujete jeho rozsah pravidel nebo rychlost: tisíce pravidel, vysoce výkonné filtrování nebo kontrolu, kterou frontend neposkytuje. Podle srovnání UFW vs nftables od Better Stackběží nftables 10 až 100krát rychleji než iptables, jakmile jsou přítomny tisíce pravidel. Tento údaj se týká nftables versus iptables, ne UFW versus iptables. U typického VPS s hrstkou pravidel povolit tento rozdíl nepocítíte a strmější křivka učení a absence přívětivého UI za to nestojí. Je tu také bezpečnostní hledisko, které je třeba mít na paměti: nftables měl skutečné chyby v jádře, včetně CVE-2025-40206, takže udržujte své jádro záplatované. To je důvod zůstat aktuální, ne důvod vyhýbat se backendu, který už provozujete.
Pokud chcete návod na pravidla UFW, průvodce příkazy UFW od Cloudzy pokrývá příkazy krok za krokem. Tato sekce je o výběru nástroje, ne o psaní pravidel.
Tip od profíka: „iptables je zastaralý" neznamená, že máte co dělat. nftables nahradil iptables jako backend jádra a UFW a firewalld už na moderních distribucích stojí na nftables. Vaše stávající pravidla UFW není třeba přepisovat; příkaz frontendu je stejný, změnilo se jen jádro pod ním. Pokud přecházíte z čistého iptables a chcete pochopit tento přechod, referenční příručka pravidel iptables od Cloudzy stále platí, protože pravidla, která jste napsali, se mapují na nový backend.
Klíčové ponaučení sekce: Použijte běžnou cestu vaší distribuce: UFW na Ubuntu, firewalld na rodině RHEL a UFW nebo přímo nftables na Debianu podle toho, kolik kontroly potřebujete. Po nftables sáhněte přímo jen tehdy, když skutečně potřebujete jeho rozsah pravidel nebo rychlost.
Síťové firewallové distribuce: Kam se hodí OPNsense a pfSense (a proč ne na váš VPS)
OPNsense, pfSense a IPFire jsou kompletní operační systémy pro vyhrazený stroj nebo VM, který chrání celou síť. Nejsou něčím, co provozujete na VPS, který se snažíte chránit. Stojí za to je znát, protože je před vás výsledky vyhledávání postaví, takže zde je, kam se hodí a kam ne.
Kdy byste jeden skutečně chtěli: homelab nebo LAN malé kanceláře, na vyhrazeném hardwaru nebo VM s NIC passthrough, umístěný mezi vaší sítí a internetem. Ať už chráníte rack kancelářských strojů, nebo osobní laboratoř, kterou vystavujete internetu, toto je kategorie, která odvede tuto práci.
Proč je to nesprávný nástroj na sdíleném VPS: tyto distribuce očekávají, že budou řídit provoz mezi více síťovými rozhraními. Na sdíleném VPS to znamená NIC passthrough, který většina poskytovatelů neposkytuje. Bez něj provozujete OS síťové brány na stroji, který nemá žádnou síť, kterou by mohl řídit. Pokud máte jeden VPS, celá tato kategorie je nesprávná vrstva a UFW plus WAF je ta správná.
Tři bezplatné možnosti k roku 2026, ve zkratce:
- OPNsense (pod licencí BSD, aktuální stabilní řada CE: 26.1, s 26.1.11 vydanou 1. července 2026). Plně open source, často aktualizovaný a nerozdělený do stejného modelu CE/Plus jako pfSense. Díky tomu je čistší bezplatnou volbou síťového zařízení pro mnoho uživatelů, kteří chtějí plně open-source firewallovou distribuci bez zmatku ohledně úrovní funkcí.
- pfSense Community Edition (aktuální vydání CE: 2.8.1, vydáno v září 2025). Stále bezplatný a open source, s rozsáhlejší dokumentací a komunitní knihovnou než OPNsense. Háček je v rozdělení CE/Plus: pfSense CE zůstává bezplatným komunitním produktem, zatímco pfSense Plus je samostatná komerční cesta pro zařízení Netgate, cloudová nasazení a hardware třetích stran. Aktuální podmínky Plus najdete na stránce pfSense Plus od Netgate než abyste důvěřovali číslu ze srovnávacího článku.
- IPFire (nejnovější 2.29 Core Update 202, podle blogu s vydáními IPFire). Lehčí stopa než u ostatních dvou, s menší komunitou. Rozumná volba, když chcete štíhlejší zařízení a nepotřebujete šíři pluginů OPNsense.
Tato shrnutí vycházejí z aktuální dokumentace a poznámek k vydání. Otestujte jakoukoli síťovou firewallovou distribuci ve VM, než se na ni spolehnete pro skutečnou síť.
Klíčové ponaučení sekce: Pokud máte síť k ochraně a stroj navíc, OPNsense je bezplatná volba v roce 2026. Pokud máte jeden VPS, celá tato kategorie je nesprávná vrstva.
Web application firewally: SafeLine vs BunkerWeb vs Haltdos
Hostitelský firewall řídí, které porty jsou otevřené. WAF dělá něco jiného: kontroluje HTTP provoz kvůli útokům na webové vrstvě, jako je SQL injection, XSS a zbytek OWASP Top 10, které firewall založený na portech nevidí. Pokud na svém VPS provozujete webovou aplikaci nebo API, WAF je druhá, doplňková vrstva. Není náhradou hostitelského firewallu; ty dvě sedí na různých místech stacku.
U nasazení na VPS začněte se stopou zdrojů. WAF, který se vejde do vašeho rozpočtu na RAM, je obvykle ten, který dokážete skutečně udržet v běhu.
| WAF | Minimum RAM | Licence | Nasazení | Uživatelské rozhraní pro správu |
|---|---|---|---|---|
| SafeLine | 1 GB | licence GPL-3.0 | Docker | Webové rozhraní |
| BunkerWeb | 8 GB | AGPLv3 | Docker (reverzní proxy NGINX) | Webové rozhraní |
| Haltdos Community | 2 GB | Bezplatná komunitní edice | VM, Docker nebo hardware | Webové rozhraní |
SafeLine je nejlehčí vstupní bod. Jeho repozitář na GitHubu ho označuje jako self-hostovaný WAF/reverzní proxy pod licencí GPL-3.0. Instalační pokrytí od třetích stran uvádí jako minimum 1 jádro CPU, 1 GB RAM a 5 GB disku, s Docker 20.10.14 nebo novějším a Docker Compose 2.0.0 nebo novějším. SafeLine používá sémantickou analýzu, místo aby se spoléhal jen na tradiční seznam pravidel, ale jeho publikovaná čísla míry detekce by měla být brána jako tvrzení poskytnutá projektem/dodavatelem, nikoli jako výsledky nezávislého benchmarku. Jen podle zdrojů je SafeLine stále volbou pro malý VPS.
BunkerWeb má nejvíce funkcí a je nejtěžší. Je to reverzní proxy WAF založený na NGINX pod AGPLv3, postavený na ModSecurity s OWASP Core Rule Set. Cenou je RAM. vlastní dokumentace BunkerWeb uvádí 2 vCPU a 8 GB RAM jako minimální doporučenou specifikaci a 4 vCPU se 16 GB pro produkci s mnoha službami.
Haltdos Community je třetí bezplatná možnost. Jeho stránka komunitní edice uvádí pokrytí OWASP Top 10, ochranu proti DDoS a botům, omezování rychlosti, vestavěná pravidla a webové GUI pro správu. Jeho dokumentace uvádí jako minimální požadavky 2 GB RAM, 60 GB disku a alespoň 2 vCPU, s podporou nasazení na VM, Docker nebo hardware.
SafeLine, BunkerWeb, a Haltdos jsou všechny dostupné jako nasazení jedním kliknutím v tržišti Cloudzy a běží také ručně na jakémkoli VPS. Ať už chráníte API směřující k zákazníkům, nebo osobní službu, kterou vystavujete internetu, vrstva je stejná; volba je většinou o tom, kolik RAM jste ochotni jí dát.
Klíčové ponaučení sekce: WAF je samostatná vrstva od vašeho hostitelského firewallu. SafeLine je nejlehčí bezplatná možnost; BunkerWeb má nejvíce funkcí, ale potřebuje mnohem větší server.
Pokud jste se rozhodli, že na váš server patří WAF, krok nasazení je místem, kde vám tržiště může ušetřit čas. SafeLine i BunkerWeb běží v Dockeru, což obvykle znamená soubor Compose, konfiguraci reverzní proxy a ladění při prvním spuštění. Možnosti tržiště Cloudzy pro SafeLine, BunkerWeb a Haltdos mohou přeskočit počáteční krok instalace, ale stále musíte nakonfigurovat směrování na upstream, DNS, TLS, řešení falešně pozitivních detekcí a pravidla hostitelského firewallu. Vrstva hostitelského firewallu samotná je odlehčená a obvykle dostupná z balíčků distribuce; ujistěte se, že je nainstalovaná, nakonfigurovaná a zapnutá, než vystavíte služby. Přizpůsobte tarif WAF: 1 GB je pro SafeLine v pořádku, ale spodní hranice 8 GB u BunkerWeb znamená větší instanci. WAF můžete nasadit na Cloudzy Linux VPS a hostitelský firewall provozovat na stejném stroji.
Jedna výhrada k Dockeru: pokud vaše aplikace nebo WAF běží v Dockeru, nepředpokládejte, že UFW samotný řídí každý publikovaný port kontejneru. Docker vytváří svá vlastní firewallová pravidla ve výchozím nastavení, takže kde je to možné, navazujte backendové kontejnery na localhost nebo soukromé sítě Dockeru a vystavujte pouze porty směřující k WAF, které skutečně chcete publikovat.
Potřebujete jak hostitelský firewall, tak WAF?
Ano, pokud provozujete veřejnou webovou aplikaci, chrání různé vrstvy. Hostitelský firewall (UFW nebo firewalld) řídí, které porty jsou otevřené, a je základem pro každý VPS. WAF kontroluje HTTP provoz proudící těmito otevřenými porty kvůli útokům na aplikační vrstvě. WAF nenahrazuje hostitelský firewall; sedí za ním.
Hostitelský firewall je nezpochybnitelný. Potřebuje ho každý VPS, ať už s webovou aplikací nebo bez ní, protože je to on, co zabraňuje zbytku internetu dostat se ke službám, které jste nikdy nechtěli vystavit. WAF je podmíněný. Přidejte ho, když obsluhujete HTTP nebo HTTPS provoz, který by mohl být napaden na aplikační vrstvě: veřejné API, CMS, cokoli, co přijímá uživatelský vstup přes web. Statický web nebo služba pouze pro interní použití za VPN nemusí WAF vůbec potřebovat; v takovém případě je hostitelský firewall samotný správnou odpovědí a přidání WAF je režie, kterou nepotřebujete. Přizpůsobte vrstvy tomu, co skutečně provozujete, ne kontrolnímu seznamu.
Klíčové ponaučení sekce: Hostitelský firewall je základem pro každý VPS. Přidejte WAF, když vystavujete webovou aplikaci internetu.
Časté dotazy
Je iptables na Linuxu zastaralý?
V praxi ano. nftables nahradil iptables jako backend pro filtrování paketů v jádře na moderním Linuxu. Ale je to změna backendu, ne výzva k akci. UFW a firewalld už na aktuálních distribucích stojí na nftables a vaše stávající pravidla UFW není třeba přepisovat. Příkazy frontendu jsou beze změny; přesunulo se jen jádro pod nimi.
Je pfSense v roce 2026 stále zdarma?
Ano. pfSense Community Edition, aktuálně 2.8.1, je bezplatný a open source. Háček je v rozdělení CE/Plus: pfSense CE zůstává bezplatným komunitním produktem, zatímco pfSense Plus je samostatná komerční cesta pro zařízení Netgate, cloudová nasazení a hardware třetích stran. Aktuální podmínky Plus a případné náklady na předplatné najdete na stránce pfSense Plus od Netgate, místo abyste se spoléhali na údaj ze srovnání od třetí strany.
Mohu provozovat pfSense nebo OPNsense na VPS?
Technicky možné, ale architektonicky nevhodné na sdíleném VPS. Jedná se o operační systémy síťové brány, které očekávají, že budou řídit provoz mezi více síťovými rozhraními, což vyžaduje NIC passthrough, který většina poskytovatelů VPS neposkytuje. Na jednom VPS je to, co skutečně chcete, hostitelský firewall (UFW nebo firewalld) a pro webové aplikace WAF.
Potřebuji WAF, pokud už mám na svém Linux serveru firewall?
Chrání různé vrstvy, takže záleží na tom, co provozujete. Hostitelský firewall řídí, které porty jsou otevřené; WAF kontroluje HTTP provoz, který jimi proudí, kvůli útokům na webové vrstvě, jako je SQL injection a XSS. Pokud obsluhujete veřejnou webovou aplikaci nebo API, přidejte WAF navrch hostitelského firewallu. Pokud provozujete pouze statický web nebo interní službu, hostitelský firewall samotný stačí.
Jaký je nejlepší bezplatný WAF pro malý Linux VPS?
SafeLine je nejlehčí bezplatná možnost s minimem 1 GB RAM běžící v Dockeru, což se hodí na malý VPS. BunkerWeb má více funkcí, ale potřebuje 8 GB RAM, takže to není nasazení na malý server. Haltdos Community je třetí bezplatná možnost s webovým UI; před dimenzováním serveru zkontrolujte v jeho dokumentaci aktuální požadavky na zdroje.