Die beste kostenlose Firewall für einen Linux-VPS ist nicht ein einzelnes Werkzeug. Sie besteht aus einer Host-Firewall (der Schicht, die jeder Server braucht) und, falls Sie eine Web-App betreiben, einer darüberliegenden Web Application Firewall. Dieser Leitfaden behandelt beide, benennt für jede Schicht die stärksten kostenlosen oder quelloffenen Firewall-Optionen und erklärt, was jede davon Sie an RAM und Einrichtungsaufwand kostet. Er richtet sich an Betreiber von Linux-VPS. Er ist keine Windows-Übersicht.
Die Kurzfassung
- "Beste kostenlose Firewall" bedeutet vier verschiedene Produkte: Linux-Host-Firewalls, Netzwerk-Firewall-Distributionen, Web Application Firewalls (WAFs) und Windows-Consumer-Tools. Nur das erste und das dritte gehören auf einen VPS.
- Verwenden Sie auf der Host-Schicht das einfachste Werkzeug, das zu Ihrer Distribution passt: UFW auf Ubuntu, firewalld bei der RHEL-Familie und entweder UFW oder direkt nftables auf Debian, je nachdem, wie viel Kontrolle Sie brauchen. Moderne Frontend-Werkzeuge setzen in der Regel auf nftables auf, aber nftables selbst ist auf Debian das standardmäßige und empfohlene Framework.
- Eine WAF ist eine separate, ergänzende Schicht für Web-Apps. Sie ist kein Ersatz für die Host-Firewall.
- SafeLine ist die schlankeste kostenlose WAF (1 GB RAM). BunkerWeb ist die funktionsreichste, verlangt aber 8 GB. Haltdos Community ist eine dritte kostenlose Option mit einer Web-UI.
Was dieser Leitfaden auslässt
Einige Firewall-Kategorien, die in anderen "Beste kostenlose Firewall"-Listen auftauchen, sind hier nicht relevant, und sie einmal zu benennen erspart Ihnen die Jagd nach dem falschen Werkzeug.
- Windows- und Consumer-Endpoint-Firewalls (ZoneAlarm, Comodo, TinyWall). Falsches Betriebssystem, falsche Maschine.
- Kostenpflichtige kommerzielle und Enterprise-Firewalls (Cisco ASA, Palo Alto, Fortinet). Außerhalb des "kostenlosen" Rahmens.
- Cloud-WAF-SaaS (Cloudflare, Sucuri). Gültig, aber DNS-/Proxy-basiert und außerhalb des Rahmens dieses selbst gehosteten VPS. Cloudflare bietet zwar ein kostenloses Basis-WAF-Regelwerk, während umfassendere Managed-Rule- und OWASP-Regelwerk-Abdeckung vom Tarif abhängt.
- pfSense oder OPNsense als Gateway auf einem geteilten VPS zu betreiben. Architektonisch ungeeignet ohne NIC-Passthrough. Erklärt im Abschnitt zu Netzwerk-Distributionen.
Was "Beste kostenlose Firewall" tatsächlich bedeutet (vier Kategorien)
Der Grund, warum Sie der Suchbegriff im Kreis herumführt, ist, dass er vier Produkte umfasst, die vier verschiedene Probleme auf vier verschiedenen Maschinen lösen. Ordnen Sie sich zuerst einer Kategorie zu und wählen Sie dann ein Werkzeug.
- Linux-Host-/VPS-Firewalls: Software, die auf derselben Maschine wie Ihre Dienste läuft und steuert, welche Ports erreichbar sind. UFW, firewalld und nftables. Das ist die Schicht, die jeder VPS braucht.
- Netzwerk-Firewall-Distributionen: vollständige Betriebssysteme, die um eine Firewall-Engine herum aufgebaut sind und auf einer dedizierten Maschine oder VM eingesetzt werden, um ein ganzes Netzwerk zu schützen. OPNsense, pfSense, IPFire. Sie sind für ein Homelab oder ein Büro-LAN gedacht, nicht für den VPS, den Sie schützen wollen.
- Web Application Firewalls (WAFs): Reverse Proxies, die den HTTP-Verkehr auf Angriffe der Web-Schicht wie SQL-Injection, XSS und den Rest der OWASP Top 10 untersuchen. SafeLine, BunkerWeb, Haltdos, ModSecurity. Sie sind für eine Web-App oder API gedacht, die auf Ihrem VPS läuft.
- Consumer-/Windows-Endpoint-Firewalls: Desktop-Software, die den Internetzugriff pro Anwendung unter Windows steuert. Hier nur genannt, um sie auszuschließen.
Für einen VPS sind die Kategorien 1 und 3 diejenigen, die Sie betreiben. Kategorie 2 läuft auf einer anderen Maschine. Kategorie 4 läuft auf einem anderen Betriebssystem. Die richtige kostenlose oder quelloffene Firewall-Option für Ihre Situation ist das Werkzeug aus Kategorie 1, und möglicherweise Kategorie 3, das zu Ihrer Distribution und Ihrem Datenverkehr passt.
Kurzes Fazit: Für die meisten VPS-Betreiber gilt: Verwenden Sie UFW für den Host und fügen Sie SafeLine hinzu, wenn Sie eine Web-App betreiben und eine WAF möchten, ohne einen 8-GB-Server aufsetzen zu müssen.
Kernaussage des Abschnitts: Auf einem VPS wählen Sie zwischen Host-Firewalls und WAFs. Netzwerk-Distributionen und Consumer-Tools sind andere Produkte für andere Maschinen.
Host-Firewalls: UFW vs. nftables vs. firewalld
Die Host-Firewall ist die eine Schicht, die Sie immer brauchen. Sie steuert, welche Ports auf Ihrem Server Verbindungen annehmen, und auf einem frischen VPS ist sie der Unterschied zwischen einem abgeriegelten und einem offenen System. Unter Ubuntu ist diese Firewall meist UFW. Bei Distributionen der RHEL-Familie ist es firewalld. Auf Debian ist UFW ein einfaches Host-Firewall-Frontend, aber Debians standardmäßiges und empfohlenes Firewalling-Framework ist nftables.
Die drei Optionen lassen sich sauber nach Distribution und nach dem gewünschten Grad an Kontrolle aufteilen:
| Tool | Distributions-Standard | Oberfläche | Am besten geeignet für | Komplexität |
|---|---|---|---|---|
| UFW | Ubuntu, gängige einfache Option auf Debian | CLI | Ein einzelner VPS, der häufigste Fall | Niedrig |
| firewalld | RHEL, CentOS, AlmaLinux, Rocky | CLI (zonenbasiert) + systemd | Server der RHEL-Familie, zonenbasierte Regeln | Mittel |
| nftables | Die Engine unter beiden | Konfigurationsdatei / CLI | Tausende Regeln, feingranulare Kontrolle, hoher Durchsatz | Hoch |
UFW ist Ubuntus standardmäßiges Firewall-Konfigurationswerkzeug und eine gängige einfache Wahl auf Debian, aber Debians standardmäßiges Firewalling-Framework ist nftables. Für einen einzelnen VPS ist UFW nach wie vor der einfachste Ausgangspunkt, wenn Sie nur einen kleinen Satz an Allow-/Deny-Regeln brauchen. Die CLI ist die einfachste der drei, Regeln bleiben über Neustarts hinweg automatisch erhalten, und ein paar Befehle decken alles ab, was die meisten VPS-Betreiber brauchen. Seine Grenze sind fortgeschrittene Regeln: Komplexe mengenbasierte Logik oder feingranulares Matching ist in UFW umständlich.
firewalld ist der Standard bei RHEL, CentOS, AlmaLinux und Rocky. Es ist zonenbasiert, integriert sich mit systemd und ist leistungsfähiger als UFW, wenn es darum geht, Datenverkehr nach Schnittstelle oder Vertrauensstufe zu segmentieren. Diese Leistungsfähigkeit kostet Einrichtungszeit. Wenn Sie einen VPS der RHEL-Familie nutzen, ist firewalld bereits vorhanden und der Weg des geringsten Widerstands.
nftables ist die Engine auf Kernel-Ebene, die unter beiden liegt. Sie verwenden es direkt, wenn Sie tatsächlich seinen Regelumfang oder seine Geschwindigkeit brauchen: Tausende Regeln, hochperformantes Filtern oder Kontrolle, die ein Frontend nicht bereitstellt. Laut Better Stacks Vergleich von UFW und nftablesläuft nftables 10 bis 100 Mal schneller als iptables, sobald Tausende von Regeln vorhanden sind. Diese Zahl bezieht sich auf nftables gegenüber iptables, nicht UFW gegenüber iptables. Bei einem typischen VPS mit einer Handvoll Allow-Regeln werden Sie diesen Unterschied nicht spüren, und die steilere Lernkurve sowie das Fehlen einer benutzerfreundlichen UI sind es nicht wert. Es gibt auch einen Sicherheitsaspekt zu beachten: nftables hatte echte Kernel-Bugs, darunter CVE-2025-40206, halten Sie Ihren Kernel also gepatcht. Das ist ein Grund, aktuell zu bleiben, kein Grund, das Backend zu meiden, das Sie ohnehin schon betreiben.
Wenn Sie die Anleitung für UFW-Regeln möchten, deckt der Cloudzy-UFW-Befehlsleitfaden die Befehle Schritt für Schritt ab. In diesem Abschnitt geht es um die Wahl des Werkzeugs, nicht um das Schreiben der Regeln.
Profi-Tipp: "iptables ist veraltet" bedeutet nicht, dass Sie etwas zu tun haben. nftables hat iptables als Kernel-Backend abgelöst, und UFW und firewalld setzen auf modernen Distributionen bereits auf nftables auf. Ihre bestehenden UFW-Regeln müssen nicht neu geschrieben werden; der Frontend-Befehl ist derselbe, nur die Engine darunter hat sich geändert. Wenn Sie von reinem iptables kommen und den Übergang verstehen möchten, gilt die Cloudzy-iptables-Regelreferenz weiterhin, da die von Ihnen geschriebenen Regeln auf das neue Backend übertragen werden.
Kernaussage des Abschnitts: Nutzen Sie den üblichen Weg Ihrer Distribution: UFW auf Ubuntu, firewalld bei der RHEL-Familie und UFW oder direkt nftables auf Debian, je nachdem, wie viel Kontrolle Sie brauchen. Greifen Sie nur dann direkt zu nftables, wenn Sie tatsächlich seinen Regelumfang oder seine Geschwindigkeit benötigen.
Netzwerk-Firewall-Distributionen: Wo OPNsense und pfSense hingehören (und warum nicht auf Ihren VPS)
OPNsense, pfSense und IPFire sind vollständige Betriebssysteme für eine dedizierte Maschine oder VM, die ein ganzes Netzwerk schützt. Sie sind nicht etwas, das Sie auf dem VPS betreiben, den Sie schützen wollen. Sie sind es wert, gekannt zu werden, weil die Suchergebnisse sie Ihnen vorsetzen werden. Hier also, wo sie hingehören und wo nicht.
Wann Sie tatsächlich eines möchten: ein Homelab oder ein Klein-Büro-LAN, auf dedizierter Hardware oder einer VM mit NIC-Passthrough, das zwischen Ihrem Netzwerk und dem Internet sitzt. Ob Sie ein Rack voller Bürorechner schützen oder ein privates Labor, das Sie ins Internet stellen: Das ist die Kategorie, die die Aufgabe erledigt.
Warum es das falsche Werkzeug auf einem geteilten VPS ist: Diese Distributionen erwarten, den Datenverkehr zwischen mehreren Netzwerkschnittstellen zu steuern. Auf einem geteilten VPS bedeutet das NIC-Passthrough, das die meisten Anbieter nicht bereitstellen. Ohne dieses betreiben Sie ein Netzwerk-Gateway-Betriebssystem auf einer Maschine, die kein Netzwerk hat, das es kontrollieren könnte. Wenn Sie einen einzelnen VPS haben, ist diese gesamte Kategorie die falsche Schicht, und UFW plus eine WAF ist die richtige.
Die drei kostenlosen Optionen im Jahr 2026, kurz zusammengefasst:
- OPNsense (BSD-lizenziert, aktuelle stabile CE-Serie: 26.1, mit 26.1.11, veröffentlicht am 1. Juli 2026). Vollständig quelloffen, häufig aktualisiert und nicht in dasselbe CE/Plus-Modell wie pfSense aufgeteilt. Das macht es zur saubereren kostenlosen Wahl als Netzwerk-Appliance für viele Nutzer, die eine vollständig quelloffene Firewall-Distribution ohne Verwirrung um Funktionsstufen möchten.
- pfSense Community Edition (aktuelle CE-Version: 2.8.1, veröffentlicht im September 2025). Nach wie vor kostenlos und quelloffen, mit einer umfangreicheren Dokumentation und Community-Bibliothek als OPNsense. Der Haken ist die CE/Plus-Aufteilung: pfSense CE bleibt das kostenlose Community-Produkt, während pfSense Plus der separate kommerzielle Weg für Netgate-Appliances, Cloud-Deployments und Drittanbieter-Hardware ist. Aktuelle Plus-Bedingungen finden Sie auf Netgates pfSense-Plus-Seite und nicht, indem Sie einer Zahl aus einem Vergleichsbeitrag vertrauen.
- IPFire (aktuell 2.29 Core Update 202, laut dem IPFire-Release-Blog). Ein geringerer Ressourcenbedarf als bei den anderen beiden, mit einer kleineren Community. Eine vernünftige Wahl, wenn Sie eine schlankere Appliance möchten und die Plugin-Vielfalt von OPNsense nicht brauchen.
Diese Zusammenfassungen beruhen auf aktueller Dokumentation und aktuellen Release-Notes. Testen Sie jede Netzwerk-Firewall-Distribution in einer VM, bevor Sie sich für ein echtes Netzwerk darauf verlassen.
Kernaussage des Abschnitts: Wenn Sie ein Netzwerk zu schützen und eine übrige Maschine haben, ist OPNsense im Jahr 2026 die kostenlose Wahl. Wenn Sie einen einzelnen VPS haben, ist diese gesamte Kategorie die falsche Schicht.
Web Application Firewalls: SafeLine vs. BunkerWeb vs. Haltdos
Eine Host-Firewall steuert, welche Ports offen sind. Eine WAF tut etwas anderes: Sie untersucht den HTTP-Verkehr auf Angriffe der Web-Schicht wie SQL-Injection, XSS und den Rest der OWASP Top 10, die eine portbasierte Firewall nicht sehen kann. Wenn Sie eine Web-App oder eine API auf Ihrem VPS betreiben, ist eine WAF eine zweite, ergänzende Schicht. Sie ist kein Ersatz für die Host-Firewall; beide sitzen an unterschiedlichen Punkten im Stack.
Bei VPS-Deployments beginnen Sie mit dem Ressourcenbedarf. Die WAF, die zu Ihrem RAM-Budget passt, ist in der Regel diejenige, die Sie tatsächlich am Laufen halten können.
| WAF | RAM-Untergrenze | Lizenz | Bereitstellung | Verwaltungsoberfläche |
|---|---|---|---|---|
| SafeLine | 1 GB | GPL-3.0-Lizenz | Docker | Weboberfläche |
| BunkerWeb | 8 GB | AGPLv3 | Docker (NGINX-Reverse-Proxy) | Weboberfläche |
| Haltdos Community | 2 GB | Kostenlose Community Edition | VM, Docker oder Hardware | Weboberfläche |
SafeLine ist der schlankeste Einstiegspunkt. Sein GitHub-Repository weist es als selbst gehostete WAF/Reverse Proxy unter einer GPL-3.0-Lizenz aus. Eine Installationsanleitung eines Drittanbieters nennt als Minimum 1 CPU-Kern, 1 GB RAM und 5 GB Festplatte, mit Docker 20.10.14 oder neuer und Docker Compose 2.0.0 oder neuer. SafeLine nutzt semantische Analyse, statt sich nur auf eine herkömmliche Regelliste zu verlassen, aber seine veröffentlichten Erkennungsraten-Zahlen sollten als Angaben des Projekts/Anbieters behandelt werden und nicht als unabhängige Benchmark-Ergebnisse. Allein von den Ressourcen her ist SafeLine nach wie vor die Wahl für kleine VPS.
BunkerWeb ist die funktionsreichste und die schwerste. Es ist eine NGINX-basierte Reverse-Proxy-WAF unter AGPLv3, aufgebaut auf ModSecurity mit dem OWASP Core Rule Set. Der Preis dafür ist RAM. BunkerWebs eigene Dokumentation nennt 2 vCPUs und 8 GB RAM als empfohlene Mindestspezifikation und 4 vCPUs mit 16 GB für den Produktivbetrieb mit vielen Diensten.
Haltdos Community ist die dritte kostenlose Option. Seine Community-Edition-Seite nennt Abdeckung der OWASP Top 10, DDoS- und Bot-Schutz, Rate Limiting, integrierte Regeln und eine webbasierte Management-GUI. Seine Dokumentation nennt als Mindestanforderungen 2 GB RAM, 60 GB Festplatte und mindestens 2 vCPU, mit Deployment-Unterstützung für VM, Docker oder Hardware.
SafeLine, BunkerWeb, und Haltdos sind alle als Ein-Klick-Deployments im Cloudzy-Marktplatz verfügbar und laufen auch von Hand auf jedem VPS. Ob Sie eine kundenseitige API oder einen privaten Dienst schützen, den Sie ins Internet stellen: Die Schicht ist dieselbe; die Wahl hängt vor allem davon ab, wie viel RAM Sie ihr geben möchten.
Kernaussage des Abschnitts: Eine WAF ist eine von Ihrer Host-Firewall getrennte Schicht. SafeLine ist die schlankeste kostenlose Option; BunkerWeb ist die funktionsreichste, braucht aber einen deutlich größeren Server.
Wenn Sie entschieden haben, dass eine WAF auf Ihren Server gehört, ist der Deployment-Schritt die Stelle, an der der Marktplatz Zeit sparen kann. SafeLine und BunkerWeb laufen beide in Docker, was in der Regel eine Compose-Datei, Reverse-Proxy-Konfiguration und Debugging beim ersten Start bedeutet. Die Marktplatz-Optionen von Cloudzy für SafeLine, BunkerWeb und Haltdos können den anfänglichen Installationsschritt überspringen, aber Sie müssen weiterhin Upstream-Routing, DNS, TLS, den Umgang mit False Positives und Host-Firewall-Regeln konfigurieren. Die Host-Firewall-Schicht selbst ist schlank und meist aus den Distributionspaketen verfügbar; stellen Sie sicher, dass sie installiert, konfiguriert und aktiviert ist, bevor Sie Dienste exponieren. Bemessen Sie den Tarif nach der WAF: 1 GB ist für SafeLine ausreichend, aber BunkerWebs Untergrenze von 8 GB bedeutet eine größere Instanz. Sie können eine WAF auf einem Cloudzy Linux VPS bereitstellen und Ihre Host-Firewall auf demselben System betreiben.
Ein Docker-Vorbehalt: Wenn Ihre App oder WAF in Docker läuft, gehen Sie nicht davon aus, dass UFW allein jeden veröffentlichten Container-Port steuert. Docker erstellt eigene Firewall-Regeln standardmäßig, binden Sie Backend-Container also nach Möglichkeit an localhost oder private Docker-Netzwerke und exponieren Sie nur die WAF-seitigen Ports, die Sie tatsächlich veröffentlichen wollen.
Brauchen Sie sowohl eine Host-Firewall als auch eine WAF?
Ja, wenn Sie eine öffentliche Web-App betreiben, denn sie schützen unterschiedliche Schichten. Die Host-Firewall (UFW oder firewalld) steuert, welche Ports offen sind, und ist die Grundlage für jeden VPS. Eine WAF untersucht den HTTP-Verkehr, der durch diese offenen Ports fließt, auf Angriffe der Anwendungsschicht. Die WAF ersetzt die Host-Firewall nicht; sie sitzt hinter ihr.
Die Host-Firewall ist nicht verhandelbar. Jeder VPS braucht sie, ob Web-App oder nicht, denn sie ist es, die den Rest des Internets davon abhält, Dienste zu erreichen, die Sie nie exponieren wollten. Die WAF ist bedingt. Fügen Sie sie hinzu, wenn Sie HTTP- oder HTTPS-Verkehr bereitstellen, der auf der Anwendungsschicht angegriffen werden könnte: eine öffentliche API, ein CMS, alles, was Nutzereingaben über das Web entgegennimmt. Eine statische Website oder ein rein interner Dienst hinter einem VPN braucht möglicherweise gar keine WAF; in diesem Fall ist die Host-Firewall allein die richtige Antwort, und eine WAF hinzuzufügen ist Overhead, den Sie nicht brauchen. Richten Sie die Schichten nach dem aus, was Sie tatsächlich betreiben, nicht nach einer Checkliste.
Kernaussage des Abschnitts: Die Host-Firewall ist die Grundlage für jeden VPS. Fügen Sie eine WAF hinzu, wenn Sie eine Web-App ins Internet stellen.
Häufig gestellte Fragen
Ist iptables unter Linux veraltet?
Im Grunde ja. nftables hat iptables als Backend zur Paketfilterung im Kernel auf modernem Linux abgelöst. Aber das ist eine Backend-Änderung, kein Handlungsaufruf. UFW und firewalld setzen auf aktuellen Distributionen bereits auf nftables auf, und Ihre bestehenden UFW-Regeln müssen nicht neu geschrieben werden. Die Frontend-Befehle sind unverändert; nur die Engine darunter hat sich verändert.
Ist pfSense im Jahr 2026 noch kostenlos?
Ja. pfSense Community Edition, derzeit 2.8.1, ist kostenlos und quelloffen. Der Haken ist die CE/Plus-Aufteilung: pfSense CE bleibt das kostenlose Community-Produkt, während pfSense Plus der separate kommerzielle Weg für Netgate-Appliances, Cloud-Deployments und Drittanbieter-Hardware ist. Für die aktuellen Plus-Bedingungen und etwaige Abonnementkosten prüfen Sie Netgates pfSense-Plus-Seite, statt sich auf eine Zahl aus einem Drittanbieter-Vergleich zu verlassen.
Kann ich pfSense oder OPNsense auf einem VPS betreiben?
Technisch möglich, aber architektonisch ungeeignet auf einem geteilten VPS. Das sind Netzwerk-Gateway-Betriebssysteme, die erwarten, den Datenverkehr zwischen mehreren Netzwerkschnittstellen zu steuern, wofür NIC-Passthrough nötig ist, das die meisten VPS-Anbieter nicht bereitstellen. Auf einem einzelnen VPS wollen Sie tatsächlich eine Host-Firewall (UFW oder firewalld) und, für Web-Apps, eine WAF.
Brauche ich eine WAF, wenn ich bereits eine Firewall auf meinem Linux-Server habe?
Sie schützen unterschiedliche Schichten, es hängt also davon ab, was Sie betreiben. Eine Host-Firewall steuert, welche Ports offen sind; eine WAF untersucht den durch sie fließenden HTTP-Verkehr auf Angriffe der Web-Schicht wie SQL-Injection und XSS. Wenn Sie eine öffentliche Web-App oder API bereitstellen, fügen Sie eine WAF über der Host-Firewall hinzu. Wenn Sie nur eine statische Website oder einen internen Dienst betreiben, reicht die Host-Firewall allein aus.
Was ist die beste kostenlose WAF für einen kleinen Linux-VPS?
SafeLine ist die schlankeste kostenlose Option, mit einem Minimum von 1 GB RAM in Docker, was zu einem kleinen VPS passt. BunkerWeb ist funktionsreicher, braucht aber 8 GB RAM und ist damit kein Deployment für kleine Server. Haltdos Community ist eine dritte kostenlose Option mit einer Web-UI; prüfen Sie deren Dokumentation auf aktuelle Ressourcenanforderungen, bevor Sie Ihren Server dimensionieren.