Gå til hovedindhold
50% rabat alle planer, tidsbegrænset. Fra $2.48/mo
14 min left
Sikkerhed og netværk

Bedste gratis firewalls til en Linux VPS

C Af Chike 14 min læsning
Diagram showing the best free firewall layers for a Linux VPS: a host firewall controlling ports and a WAF inspecting HTTP traffic

Den bedste gratis firewall til en Linux VPS er ikke ét værktøj. Det er en hostfirewall (det lag, enhver server har brug for) og, hvis du kører en webapp, en web application firewall ovenpå. Denne guide dækker begge dele, nævner de stærkeste gratis eller open source-firewalls til hvert lag og angiver, hvad hver enkelt koster dig i RAM og opsætningsarbejde. Den er målrettet Linux VPS-operatører. Det er ikke en Windows-oversigt.

Den korte version

  • "Bedste gratis firewall" betyder fire forskellige produkter: Linux-hostfirewalls, netværksfirewall-distributioner, web application firewalls (WAF'er) og Windows-forbrugerværktøjer. Kun den første og den tredje hører hjemme på en VPS.
  • På hostlaget skal du bruge det enkleste værktøj, der passer til din distribution: UFW på Ubuntu, firewalld på RHEL-familien og enten UFW eller direkte nftables på Debian, afhængigt af hvor meget kontrol du har brug for. Moderne frontend-værktøjer bygger generelt på nftables, men nftables selv er standardframeworket og det anbefalede framework på Debian.
  • En WAF er et separat, supplerende lag til webapps. Den er ikke en erstatning for hostfirewallen.
  • SafeLine er den letteste gratis WAF (1 GB RAM). BunkerWeb er den mest funktionsrige, men kræver 8 GB. Haltdos Community er en tredje gratis mulighed med en web-UI.

Hvad denne guide springer over

Nogle få firewall-kategorier, der dukker op i andre lister over "bedste gratis firewall", er ikke relevante her, og ved at nævne dem én gang sparer vi dig for at jagte det forkerte værktøj.

  • Windows- og forbruger-endpointfirewalls (ZoneAlarm, Comodo, TinyWall). Forkert styresystem, forkert maskine.
  • Betalte kommercielle firewalls og enterprise-firewalls (Cisco ASA, Palo Alto, Fortinet). Uden for "gratis"-rammen.
  • Cloud-WAF SaaS (Cloudflare, Sucuri). Gyldige, men DNS-/proxy-baserede og uden for rammen for denne selvhostede VPS. Cloudflare tilbyder et gratis WAF-basisregelsæt, mens mere komplet dækning med managed rules og OWASP-regelsæt afhænger af abonnementet.
  • At køre pfSense eller OPNsense som gateway på en delt VPS. Arkitektonisk uegnet uden NIC passthrough. Forklaret i afsnittet om netværksdistributioner.

Hvad "bedste gratis firewall" faktisk betyder (fire kategorier)

The four categories the term best free firewall covers: Linux host firewalls, network firewall distros, web application firewalls, and Windows endpoint tools

Grunden til, at søgeordet sender dig rundt i cirkler, er, at det dækker fire produkter, som løser fire forskellige problemer på fire forskellige maskiner. Placer dig selv i en kategori først, og vælg så et værktøj.

  1. Linux-host-/VPS-firewalls: software, der kører på samme maskine som dine tjenester og styrer, hvilke porte der er tilgængelige. UFW, firewalld og nftables. Dette er det lag, enhver VPS har brug for.
  2. Netværksfirewall-distributioner: komplette styresystemer bygget op omkring en firewall-motor, udrullet på en dedikeret maskine eller VM for at beskytte et helt netværk. OPNsense, pfSense, IPFire. De er til et homelab eller et kontor-LAN, ikke til den VPS, du forsøger at beskytte.
  3. Web application firewalls (WAF'er): reverse proxies, der inspicerer HTTP-trafik for angreb på weblaget som SQL injection, XSS og resten af OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. De er til en webapp eller et API, der kører på din VPS.
  4. Forbruger-/Windows-endpointfirewalls: desktopsoftware, der styrer internetadgang pr. applikation på Windows. Nævnt her kun for at udelukke den.

Til en VPS er det kategori 1 og 3, du kører. Kategori 2 kører på en anden maskine. Kategori 4 kører på et andet styresystem. Den rigtige gratis eller open source-firewall til din situation er det værktøj i kategori 1, og muligvis kategori 3, der passer til din distribution og din trafik.

Hurtig konklusion: For de fleste VPS-operatører: brug UFW til hosten, og tilføj SafeLine, hvis du kører en webapp og vil have en WAF uden at skulle sætte en 8 GB-server op.

Afsnittets nøglekonklusion: På en VPS vælger du mellem hostfirewalls og WAF'er. Netværksdistributioner og forbrugerværktøjer er forskellige produkter til forskellige maskiner.

Hostfirewalls: UFW vs. nftables vs. firewalld

Choosing a Linux host firewall by distro: UFW on Ubuntu, firewalld on RHEL-family, and nftables as the engine underneath both

Hostfirewallen er det ene lag, du altid har brug for. Den styrer, hvilke porte på din server der accepterer forbindelser, og på en ny VPS er den forskellen mellem en låst maskine og en åben. På Ubuntu er den firewall som regel UFW. På RHEL-familiens distributioner er det firewalld. På Debian er UFW en simpel hostfirewall-frontend, men Debians standardframework og anbefalede framework til firewalling er nftables.

De tre muligheder deler sig rent efter distribution og efter, hvor meget kontrol du har brug for:

VærktøjDistributionsstandardGrænsefladeBedst tilKompleksitet
UFWUbuntu, almindelig enkel mulighed på DebianCLIEn enkelt VPS, det almindelige tilfældeLav
firewalldRHEL, CentOS, AlmaLinux, RockyCLI (zonebaseret) + systemdRHEL-familiens servere, zonebaserede reglerMellem
nftablesMotoren under beggeKonfigurationsfil / CLITusindvis af regler, finkornet kontrol, høj gennemstrømningHøj

UFW er Ubuntus standardværktøj til firewall-konfiguration og et almindeligt enkelt valg på Debian, men Debians standardframework til firewalling er nftables. Til én VPS er UFW stadig det nemmeste udgangspunkt, når du kun har brug for et lille sæt allow/deny-regler. CLI'en er den enkleste af de tre, regler bevares automatisk på tværs af genstarter, og nogle få kommandoer dækker alt, hvad de fleste VPS-operatører har brug for. Grænsen er avancerede regler: kompleks set-baseret logik eller finkornet matching er besværligt i UFW.

firewalld er standard på RHEL, CentOS, AlmaLinux og Rocky. Den er zonebaseret, integrerer med systemd og er mere kapabel end UFW til at segmentere trafik efter interface eller tillidsniveau. Den kraft koster opsætningstid. Hvis du er på en VPS i RHEL-familien, er firewalld allerede der og er vejen med mindst modstand.

nftables er kernel-motoren, der ligger under begge. Du bruger den direkte, når du reelt har brug for dens regelskala eller hastighed: tusindvis af regler, højtydende filtrering eller kontrol, som en frontend ikke giver adgang til. Ifølge Better Stacks sammenligning af UFW vs. nftableskører nftables 10 til 100 gange hurtigere end iptables, når der er tusindvis af regler til stede. Det tal er nftables mod iptables, ikke UFW mod iptables. For en typisk VPS med en håndfuld allow-regler vil du ikke mærke den forskel, og den stejlere indlæringskurve og mangel på en brugervenlig UI er ikke prisen værd. Der er også en sikkerhedsvinkel at holde øje med: nftables har haft reelle kernel-fejl, herunder CVE-2025-40206, så hold din kernel opdateret. Det er en grund til at holde sig ajour, ikke en grund til at undgå den backend, du allerede kører.

Hvis du vil have vejledningen til UFW-regler, dækker Cloudzys guide til UFW-kommandoer kommandoerne trin for trin. Dette afsnit handler om at vælge værktøjet, ikke om at skrive reglerne.

Proftip: "iptables er forældet" betyder ikke, at du har arbejde at gøre. nftables erstattede iptables som kernel-backend, og UFW og firewalld bygger allerede på nftables på moderne distributioner. Dine eksisterende UFW-regler behøver ikke omskrivning; frontend-kommandoen er den samme, kun motoren nedenunder blev ændret. Hvis du kommer fra rå iptables og vil forstå overgangen, gælder Cloudzys referenceguide til iptables-regler stadig, da de regler, du skrev, kortlægges til den nye backend.

Afsnittets nøglekonklusion: Brug din distributions normale vej: UFW på Ubuntu, firewalld på RHEL-familien og UFW eller direkte nftables på Debian, afhængigt af hvor meget kontrol du har brug for. Grib kun direkte til nftables, når du reelt har brug for dens regelskala eller hastighed.

Netværksfirewall-distributioner: Hvor OPNsense og pfSense passer ind (og hvorfor ikke på din VPS)

OPNsense, pfSense og IPFire er komplette styresystemer til en dedikeret maskine eller VM, der beskytter et helt netværk. De er ikke noget, du kører på den VPS, du forsøger at beskytte. De er værd at kende, fordi søgeresultaterne vil præsentere dem for dig, så her er, hvor de passer ind, og hvor de ikke gør.

Hvornår du faktisk ville ønske dig en: et homelab eller et LAN på et lille kontor, på dedikeret hardware eller en VM med NIC passthrough, placeret mellem dit netværk og internettet. Uanset om du beskytter et rack med kontormaskiner eller et personligt lab, du eksponerer mod internettet, er dette den kategori, der klarer opgaven.

Hvorfor det er det forkerte værktøj på en delt VPS: disse distributioner forventer at styre trafikken mellem flere netværksinterfaces. På en delt VPS betyder det NIC passthrough, som de fleste udbydere ikke giver adgang til. Uden det kører du et netværks-gateway-OS på en maskine, der ikke har noget netværk at afgrænse. Hvis du har en enkelt VPS, er hele denne kategori det forkerte lag, og UFW plus en WAF er det rigtige.

De tre gratis muligheder pr. 2026, i korte træk:

  • OPNsense (BSD-licenseret, aktuel stabil CE-serie: 26.1, med 26.1.11 udgivet 1. juli 2026). Fuldt open source, opdateres hyppigt og er ikke opdelt i samme CE/Plus-model som pfSense. Det gør den til det renere gratis netværks-appliance-valg for mange brugere, der vil have en fuldt open source-firewall-distribution uden forvirring om funktionsniveauer.
  • pfSense Community Edition (aktuel CE-udgivelse: 2.8.1, udgivet september 2025). Stadig gratis og open source, med et større bibliotek af dokumentation og community end OPNsense. Hagen er CE/Plus-opdelingen: pfSense CE forbliver det gratis community-produkt, mens pfSense Plus er den separate kommercielle vej til Netgate-appliances, cloud-deployments og tredjepartshardware. For de aktuelle Plus-vilkår, tjek Netgates pfSense Plus-side i stedet for at stole på et tal fra et sammenligningsindlæg.
  • IPFire (seneste 2.29 Core Update 202, ifølge IPFires udgivelsesblog). Et lettere fodaftryk end de to andre, med et mindre community. Et fornuftigt valg, når du vil have en slankere appliance og ikke har brug for OPNsenses bredde af plugins.

Disse opsummeringer er baseret på aktuel dokumentation og udgivelsesnoter. Test enhver netværksfirewall-distribution i en VM, før du bruger den til et rigtigt netværk.

Afsnittets nøglekonklusion: Hvis du har et netværk at beskytte og en maskine i overskud, er OPNsense det gratis valg i 2026. Hvis du har en enkelt VPS, er hele denne kategori det forkerte lag.

Web application firewalls: SafeLine vs. BunkerWeb vs. Haltdos

Comparing three free web application firewalls for a VPS: SafeLine at 1 GB RAM, BunkerWeb at 8 GB, and Haltdos Community at 2 GB, each with a web UI

En hostfirewall styrer, hvilke porte der er åbne. En WAF gør noget andet: den inspicerer HTTP-trafik for angreb på weblaget som SQL injection, XSS og resten af OWASP Top 10, som en portbaseret firewall ikke kan se. Hvis du kører en webapp eller et API på din VPS, er en WAF et andet, supplerende lag. Den er ikke en erstatning for hostfirewallen; de to sidder på forskellige steder i stacken.

Til VPS-deployments skal du starte med ressourcefodaftrykket. Den WAF, der passer til dit RAM-budget, er som regel den, du faktisk kan holde kørende.

WAFRAM-minimumLicensUdrulningAdministrationsgrænseflade
SafeLine1 GBGPL-3.0-licensDockerWebbrugerflade
BunkerWeb8 GBAGPLv3Docker (NGINX reverse proxy)Webbrugerflade
Haltdos Community2 GBGratis community-udgaveVM, Docker eller hardwareWebbrugerflade

SafeLine er det letteste udgangspunkt. Dens GitHub-repository identificerer den som en selvhostet WAF/reverse proxy under en GPL-3.0-licens. Tredjeparts installationsdækning angiver dens minimum som 1 CPU-kerne, 1 GB RAM og 5 GB disk, med Docker 20.10.14 eller nyere og Docker Compose 2.0.0 eller nyere. SafeLine bruger semantisk analyse frem for kun at læne sig op ad en traditionel regelliste, men de offentliggjorte tal for detektionsrate bør behandles som påstande fra projektet/leverandøren snarere end uafhængige benchmarkresultater. På ressourcer alene er SafeLine stadig valget til en lille VPS.

BunkerWeb er den mest funktionsrige og den tungeste. Det er en NGINX-baseret reverse-proxy-WAF under AGPLv3, bygget på ModSecurity med OWASP Core Rule Set. Prisen er RAM. BunkerWebs egen dokumentation angiver 2 vCPU'er og 8 GB RAM som den anbefalede minimumsspecifikation og 4 vCPU'er med 16 GB til produktion med mange tjenester.

Haltdos Community er den tredje gratis mulighed. Dens side om community-udgaven angiver dækning af OWASP Top 10, DDoS- og botbeskyttelse, rate limiting, indbyggede regler og en webbaseret administrations-GUI. Dokumentationen angiver 2 GB RAM, 60 GB disk og mindst 2 vCPU som minimumskrav, med deployment-understøttelse for VM, Docker eller hardware.

SafeLine, BunkerWeb, og Haltdos er alle tilgængelige som one-click-deployments i Cloudzy-marketplace, og de kører også på en hvilken som helst VPS ved manuel opsætning. Uanset om du beskytter et kundevendt API eller en personlig tjeneste, du eksponerer mod internettet, er laget det samme; valget handler mest om, hvor meget RAM du er villig til at give det.

Afsnittets nøglekonklusion: En WAF er et separat lag fra din hostfirewall. SafeLine er den letteste gratis mulighed; BunkerWeb er den mest funktionsrige, men kræver en meget større server.

Hvis du har besluttet, at en WAF hører hjemme på din server, er det deployment-trinnet, hvor marketplace kan spare tid. SafeLine og BunkerWeb kører begge i Docker, hvilket normalt betyder en Compose-fil, reverse-proxy-konfiguration og fejlfinding ved første kørsel. Cloudzys marketplace-muligheder for SafeLine, BunkerWeb og Haltdos kan springe det indledende installationstrin over, men du skal stadig konfigurere upstream-routing, DNS, TLS, håndtering af falske positiver og hostfirewall-regler. Selve hostfirewall-laget er let og som regel tilgængeligt fra distributionens pakker; sørg for, at det er installeret, konfigureret og aktiveret, før du eksponerer tjenester. Dimensioner planen efter WAF'en: 1 GB er fint til SafeLine, men BunkerWebs gulv på 8 GB betyder en større instans. Du kan udrulle en WAF på en Cloudzy Linux VPS og køre din hostfirewall på samme maskine.

Ét Docker-forbehold: hvis din app eller WAF kører i Docker, så gå ikke ud fra, at UFW alene styrer alle publicerede containerporte. Docker opretter sine egne firewall-regler som standard, så bind backend-containere til localhost eller private Docker-netværk, hvor det er muligt, og eksponer kun de WAF-vendte porte, du faktisk har til hensigt at publicere.

Har du brug for både en hostfirewall og en WAF?

Ja, hvis du kører en offentlig webapp, beskytter de forskellige lag. Hostfirewallen (UFW eller firewalld) styrer, hvilke porte der er åbne, og er grundlaget for enhver VPS. En WAF inspicerer den HTTP-trafik, der strømmer gennem de åbne porte, for angreb på applikationslaget. WAF'en erstatter ikke hostfirewallen; den sidder bag den.

Hostfirewallen er der ingen diskussion om. Enhver VPS har brug for den, webapp eller ej, fordi det er den, der forhindrer resten af internettet i at nå tjenester, du aldrig havde til hensigt at eksponere. WAF'en er betinget. Tilføj den, når du serverer HTTP- eller HTTPS-trafik, der kan angribes på applikationslaget: et offentligt API, et CMS, alt der modtager brugerinput over nettet. Et statisk site eller en rent intern tjeneste bag en VPN har måske slet ikke brug for en WAF; i så fald er hostfirewallen alene det rigtige svar, og at tilføje en WAF er overhead, du ikke har brug for. Tilpas lagene til det, du faktisk kører, ikke til en tjekliste.

Afsnittets nøglekonklusion: Hostfirewallen er grundlaget for enhver VPS. Tilføj en WAF, når du eksponerer en webapp mod internettet.

Ofte stillede spørgsmål

Er iptables forældet på Linux?

I praksis, ja. nftables erstattede iptables som kernel-backend til pakkefiltrering på moderne Linux. Men dette er en backend-ændring, ikke et opkald til handling. UFW og firewalld bygger allerede på nftables på aktuelle distributioner, og dine eksisterende UFW-regler behøver ikke omskrivning. Frontend-kommandoerne er uændrede; kun motoren under dem flyttede sig.

Er pfSense stadig gratis i 2026?

Ja. pfSense Community Edition, i øjeblikket 2.8.1, er gratis og open source. Hagen er CE/Plus-opdelingen: pfSense CE forbliver det gratis community-produkt, mens pfSense Plus er den separate kommercielle vej til Netgate-appliances, cloud-deployments og tredjepartshardware. For de aktuelle Plus-vilkår og en eventuel abonnementspris, tjek Netgates pfSense Plus-side i stedet for at læne dig op ad et tal fra en tredjepartssammenligning.

Kan jeg køre pfSense eller OPNsense på en VPS?

Teknisk muligt, men arkitektonisk uegnet på en delt VPS. Dette er netværks-gateway-styresystemer, der forventer at styre trafik mellem flere netværksinterfaces, hvilket kræver NIC passthrough, som de fleste VPS-udbydere ikke giver adgang til. På en enkelt VPS er det, du faktisk vil have, en hostfirewall (UFW eller firewalld) og, til webapps, en WAF.

Har jeg brug for en WAF, hvis jeg allerede har en firewall på min Linux-server?

De beskytter forskellige lag, så det afhænger af, hvad du kører. En hostfirewall styrer, hvilke porte der er åbne; en WAF inspicerer den HTTP-trafik, der strømmer gennem dem, for angreb på weblaget som SQL injection og XSS. Hvis du serverer en offentlig webapp eller et API, så tilføj en WAF oven på hostfirewallen. Hvis du kun kører et statisk site eller en intern tjeneste, er hostfirewallen alene nok.

Hvad er den bedste gratis WAF til en lille Linux VPS?

SafeLine er den letteste gratis mulighed, med et minimum på 1 GB RAM kørende i Docker, hvilket passer til en lille VPS. BunkerWeb er mere funktionsrig, men kræver 8 GB RAM, så det er ikke en deployment til en lille server. Haltdos Community er en tredje gratis mulighed med en web-UI; tjek dens dokumentation for de aktuelle ressourcekrav, før du dimensionerer din server.

Del

Mere fra bloggen

Læs videre.

Klar til at udrulle? Fra 2,48 $/md.

Uafhængig cloud siden 2008. AMD EPYC, NVMe, 40 Gbps. 14 dages pengene-tilbage-garanti.