Saltar al contenido principal
50% de descuento todos los planes, tiempo limitado. Desde $2.48/mo
14 min left
Seguridad y redes

Los mejores firewalls gratuitos para un VPS Linux

C Por Chike 14 min de lectura
Diagram showing the best free firewall layers for a Linux VPS: a host firewall controlling ports and a WAF inspecting HTTP traffic

El mejor firewall gratuito para un VPS Linux no es una sola herramienta. Es un firewall de host (la capa que necesita todo servidor) y, si ejecutas una aplicación web, un firewall de aplicaciones web por encima. Esta guía cubre ambos, nombra las mejores opciones de firewall gratuitas o de código abierto para cada capa e indica cuánto te cuesta cada una en RAM y esfuerzo de configuración. Está enfocada en operadores de VPS Linux. No es un repaso de Windows.

La versión corta

  • "El mejor firewall gratuito" abarca cuatro productos diferentes: firewalls de host para Linux, distros de firewall de red, firewalls de aplicaciones web (WAF) y herramientas de consumo para Windows. Solo el primero y el tercero tienen cabida en un VPS.
  • En la capa del host, usa la herramienta más sencilla que encaje con tu distro: UFW en Ubuntu, firewalld en la familia RHEL, y UFW o nftables directamente en Debian según cuánto control necesites. Las herramientas frontend modernas por lo general se apoyan en nftables, pero nftables en sí es el framework predeterminado y recomendado en Debian.
  • Un WAF es una capa separada y complementaria para aplicaciones web. No sustituye al firewall de host.
  • SafeLine es el WAF gratuito más ligero (1 GB de RAM). BunkerWeb es el más completo, pero pide 8 GB. Haltdos Community es una tercera opción gratuita con una UI web.

Lo que esta guía omite

Algunas categorías de firewall que aparecen en otras listas de "los mejores firewalls gratuitos" no aplican aquí, y nombrarlas una vez te evita perseguir la herramienta equivocada.

  • Firewalls de Windows y de endpoints de consumo (ZoneAlarm, Comodo, TinyWall). Sistema operativo equivocado, máquina equivocada.
  • Firewalls comerciales y empresariales de pago (Cisco ASA, Palo Alto, Fortinet). Fuera del alcance de lo "gratuito".
  • WAF SaaS en la nube (Cloudflare, Sucuri). Válidos, pero basados en DNS/proxy y fuera del alcance de este VPS autoalojado. Cloudflare sí ofrece un conjunto de reglas WAF básico gratuito, mientras que una cobertura más amplia de reglas gestionadas y del conjunto de reglas OWASP depende del plan.
  • Ejecutar pfSense u OPNsense como gateway en un VPS compartido. Arquitectónicamente inadecuado sin passthrough de NIC. Se explica en la sección de distros de red.

Qué significa realmente "el mejor firewall gratuito" (cuatro categorías)

The four categories the term best free firewall covers: Linux host firewalls, network firewall distros, web application firewalls, and Windows endpoint tools

El motivo por el que ese término de búsqueda te hace dar vueltas es que abarca cuatro productos que resuelven cuatro problemas distintos en cuatro máquinas distintas. Primero ubícate en una categoría y luego elige una herramienta.

  1. Firewalls de host/VPS para Linux: software que se ejecuta en la misma máquina que tus servicios y controla qué puertos son accesibles. UFW, firewalld y nftables. Esta es la capa que necesita todo VPS.
  2. Distros de firewall de red: sistemas operativos completos construidos en torno a un motor de firewall, desplegados en una máquina dedicada o una VM para proteger toda una red. OPNsense, pfSense, IPFire. Son para un homelab o una LAN de oficina, no para el VPS que intentas proteger.
  3. Firewalls de aplicaciones web (WAF): proxies inversos que inspeccionan el tráfico HTTP en busca de ataques de la capa web como inyección SQL, XSS y el resto del OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Son para una aplicación web o API que se ejecuta en tu VPS.
  4. Firewalls de endpoint de consumo/Windows: software de escritorio que controla el acceso a internet por aplicación en Windows. Se menciona aquí solo para excluirlo.

Para un VPS, las categorías 1 y 3 son las que ejecutas. La categoría 2 se ejecuta en otra máquina. La categoría 4 se ejecuta en otro sistema operativo. La opción de firewall gratuita o de código abierto adecuada para tu situación es la herramienta de la categoría 1, y posiblemente de la categoría 3, que encaje con tu distro y tu tráfico.

Veredicto rápido: Para la mayoría de los operadores de VPS, usa UFW para el host y añade SafeLine si ejecutas una aplicación web y quieres un WAF sin levantar un servidor de 8 GB.

Conclusión clave de la sección: En un VPS eliges entre firewalls de host y WAF. Las distros de red y las herramientas de consumo son productos diferentes para máquinas diferentes.

Firewalls de host: UFW vs nftables vs firewalld

Choosing a Linux host firewall by distro: UFW on Ubuntu, firewalld on RHEL-family, and nftables as the engine underneath both

El firewall de host es la única capa que siempre necesitas. Controla qué puertos de tu servidor aceptan conexiones, y en un VPS recién creado marca la diferencia entre una máquina blindada y una abierta. En Ubuntu, ese firewall suele ser UFW. En las distros de la familia RHEL, es firewalld. En Debian, UFW es un frontend sencillo de firewall de host, pero el framework de firewall predeterminado y recomendado de Debian es nftables.

Las tres opciones se dividen con claridad según la distro y según cuánto control necesites:

HerramientaPredeterminado de la distroInterfazIdeal paraComplejidad
UFWUbuntu, opción sencilla habitual en DebianCLIUn solo VPS, el caso habitualBajo
firewalldRHEL, CentOS, AlmaLinux, RockyCLI (basado en zonas) + systemdServidores de la familia RHEL, reglas basadas en zonasMedio
nftablesEl motor que hay bajo ambosArchivo de configuración / CLIMiles de reglas, control detallado, alto rendimientoAlta

UFW es la herramienta de configuración de firewall predeterminada de Ubuntu y una opción sencilla habitual en Debian, pero el framework de firewall predeterminado de Debian es nftables. Para un solo VPS, UFW sigue siendo el punto de partida más fácil cuando solo necesitas un conjunto reducido de reglas de permitir/denegar. La CLI es la más sencilla de las tres, las reglas persisten automáticamente entre reinicios y unos pocos comandos cubren todo lo que necesita la mayoría de los operadores de VPS. Su límite son las reglas avanzadas: la lógica compleja basada en conjuntos o la coincidencia detallada resultan incómodas en UFW.

firewalld es el predeterminado en RHEL, CentOS, AlmaLinux y Rocky. Está basado en zonas, se integra con systemd y es más capaz que UFW para segmentar el tráfico por interfaz o nivel de confianza. Esa potencia cuesta tiempo de configuración. Si estás en un VPS de la familia RHEL, firewalld ya está ahí y es el camino de menor resistencia.

nftables es el motor a nivel de kernel que hay debajo de ambos. Lo usas directamente cuando realmente necesitas su escala de reglas o su velocidad: miles de reglas, filtrado de alto rendimiento o un control que un frontend no expone. Según la comparación de UFW vs nftables de Better Stack, nftables se ejecuta de 10 a 100 veces más rápido que iptables una vez que hay miles de reglas presentes. Esa cifra es nftables frente a iptables, no UFW frente a iptables. Para un VPS típico con un puñado de reglas de permitir, no notarás esa diferencia, y no vale la pena pagar la curva de aprendizaje más pronunciada y la falta de una UI amigable. También hay un aspecto de seguridad que conviene tener presente: nftables ha tenido bugs reales de kernel, incluido CVE-2025-40206, así que mantén tu kernel parcheado. Eso es una razón para estar al día, no una razón para evitar el backend que ya estás ejecutando.

Si quieres el paso a paso para las reglas de UFW, la guía de comandos de UFW de Cloudzy cubre los comandos paso a paso. Esta sección trata de elegir la herramienta, no de escribir las reglas.

Consejo pro: "iptables está obsoleto" no significa que tengas trabajo por hacer. nftables reemplazó a iptables como backend del kernel, y UFW y firewalld ya se apoyan en nftables en las distros modernas. Tus reglas de UFW existentes no necesitan reescribirse; el comando del frontend es el mismo, solo cambió el motor que hay debajo. Si vienes de iptables puro y quieres entender la transición, la referencia de reglas de iptables de Cloudzy sigue siendo válida, ya que las reglas que escribiste se corresponden con el nuevo backend.

Conclusión clave de la sección: Usa el camino habitual de tu distro: UFW en Ubuntu, firewalld en la familia RHEL, y UFW o nftables directamente en Debian según cuánto control necesites. Recurre a nftables directamente solo cuando realmente necesites su escala de reglas o su velocidad.

Distros de firewall de red: dónde encajan OPNsense y pfSense (y por qué no en tu VPS)

OPNsense, pfSense e IPFire son sistemas operativos completos para una máquina dedicada o una VM que protege toda una red. No son algo que ejecutes en el VPS que intentas proteger. Vale la pena conocerlos porque los resultados de búsqueda te los pondrán delante, así que aquí tienes dónde encajan y dónde no.

Cuándo querrías uno de verdad: un homelab o una LAN de una oficina pequeña, en hardware dedicado o una VM con passthrough de NIC, situado entre tu red e internet. Ya sea que estés protegiendo un rack de máquinas de oficina o un laboratorio personal que expones a internet, esta es la categoría que hace el trabajo.

Por qué es la herramienta equivocada en un VPS compartido: estas distros esperan controlar el tráfico entre múltiples interfaces de red. En un VPS compartido eso significa passthrough de NIC, que la mayoría de los proveedores no exponen. Sin él estás ejecutando un SO de gateway de red en una máquina que no tiene red que controlar. Si tienes un solo VPS, toda esta categoría es la capa equivocada, y UFW más un WAF es la correcta.

Las tres opciones gratuitas a fecha de 2026, en resumen:

  • OPNsense (con licencia BSD, serie CE estable actual: 26.1, con 26.1.11 lanzada el 1 de julio de 2026). Totalmente de código abierto, actualizada con frecuencia y no dividida en el mismo modelo CE/Plus que pfSense. Eso la convierte en la opción de appliance de red gratuita más limpia para muchos usuarios que quieren una distro de firewall totalmente de código abierto sin la confusión de niveles de funciones.
  • pfSense Community Edition (versión CE actual: 2.8.1, lanzada en septiembre de 2025). Sigue siendo gratuita y de código abierto, con una biblioteca de documentación y comunidad más grande que OPNsense. El truco está en la división CE/Plus: pfSense CE sigue siendo el producto comunitario gratuito, mientras que pfSense Plus es el camino comercial separado para appliances de Netgate, despliegues en la nube y hardware de terceros. Para conocer los términos actuales de Plus, consulta la página de pfSense Plus de Netgate en lugar de fiarte de una cifra de una publicación comparativa.
  • IPFire (la más reciente 2.29 Core Update 202, según el blog de lanzamientos de IPFire). Una huella más ligera que las otras dos, con una comunidad más pequeña. Una elección razonable cuando quieres un appliance más liviano y no necesitas la amplitud de plugins de OPNsense.

Estos resúmenes se basan en la documentación y las notas de versión actuales. Prueba cualquier distro de firewall de red en una VM antes de confiar en ella para una red real.

Conclusión clave de la sección: Si tienes una red que proteger y una máquina de sobra, OPNsense es la opción gratuita en 2026. Si tienes un solo VPS, toda esta categoría es la capa equivocada.

Firewalls de aplicaciones web: SafeLine vs BunkerWeb vs Haltdos

Comparing three free web application firewalls for a VPS: SafeLine at 1 GB RAM, BunkerWeb at 8 GB, and Haltdos Community at 2 GB, each with a web UI

Un firewall de host controla qué puertos están abiertos. Un WAF hace algo diferente: inspecciona el tráfico HTTP en busca de ataques de la capa web como inyección SQL, XSS y el resto del OWASP Top 10, que un firewall basado en puertos no puede ver. Si ejecutas una aplicación web o una API en tu VPS, un WAF es una segunda capa complementaria. No sustituye al firewall de host; ambos se sitúan en puntos distintos del stack.

Para despliegues en VPS, empieza por la huella de recursos. El WAF que encaja en tu presupuesto de RAM suele ser el que realmente puedes mantener en funcionamiento.

WAFMínimo de RAMLicenciaDespliegueInterfaz de gestión
SafeLine1 GBLicencia GPL-3.0DockerInterfaz web
BunkerWeb8 GBAGPLv3Docker (proxy inverso NGINX)Interfaz web
Haltdos Community2 GBEdición comunitaria gratuitaVM, Docker o hardwareInterfaz web

SafeLine es el punto de entrada más ligero. Su repositorio de GitHub lo identifica como un WAF/proxy inverso autoalojado bajo una licencia GPL-3.0. La cobertura de instalación de terceros indica como mínimo 1 núcleo de CPU, 1 GB de RAM y 5 GB de disco, con Docker 20.10.14 o más reciente y Docker Compose 2.0.0 o más reciente. SafeLine utiliza análisis semántico en lugar de basarse únicamente en una lista de reglas tradicional, pero sus cifras de tasa de detección publicadas deben tratarse como afirmaciones proporcionadas por el proyecto/proveedor y no como resultados de benchmarks independientes. Solo por recursos, SafeLine sigue siendo la opción para un VPS pequeño.

BunkerWeb es el más completo y el más pesado. Es un WAF de proxy inverso basado en NGINX bajo AGPLv3, construido sobre ModSecurity con el OWASP Core Rule Set. El coste es la RAM. La propia documentación de BunkerWeb indica 2 vCPU y 8 GB de RAM como especificación mínima recomendada, y 4 vCPU con 16 GB para producción con muchos servicios.

Haltdos Community es la tercera opción gratuita. Su página de la edición comunitaria enumera cobertura del OWASP Top 10, protección contra DDoS y bots, limitación de tasa, reglas integradas y una GUI de gestión basada en web. Su documentación indica como requisitos mínimos 2 GB de RAM, 60 GB de disco y al menos 2 vCPU, con soporte de despliegue para VM, Docker o hardware.

SafeLine, BunkerWeb, y Haltdos están todos disponibles como despliegues con un clic en el marketplace de Cloudzy, y también se ejecutan en cualquier VPS de forma manual. Ya sea que estés protegiendo una API de cara al cliente o un servicio personal que expones a internet, la capa es la misma; la elección depende sobre todo de cuánta RAM estés dispuesto a darle.

Conclusión clave de la sección: Un WAF es una capa separada de tu firewall de host. SafeLine es la opción gratuita más ligera; BunkerWeb es el más completo, pero necesita un servidor mucho más grande.

Si has decidido que un WAF corresponde a tu servidor, el paso del despliegue es donde el marketplace puede ahorrar tiempo. Tanto SafeLine como BunkerWeb se ejecutan en Docker, lo que normalmente implica un archivo Compose, la configuración del proxy inverso y depuración en la primera ejecución. Las opciones del marketplace de Cloudzy para SafeLine, BunkerWeb y Haltdos pueden omitir el paso de instalación inicial, pero aún necesitas configurar el enrutamiento del upstream, DNS, TLS, el manejo de falsos positivos y las reglas del firewall de host. La capa del firewall de host en sí es ligera y suele estar disponible en los paquetes de la distro; asegúrate de que esté instalada, configurada y habilitada antes de exponer servicios. Dimensiona el plan según el WAF: 1 GB está bien para SafeLine, pero el piso de 8 GB de BunkerWeb implica una instancia más grande. Puedes desplegar un WAF en un VPS Cloudzy Linux y ejecutar tu firewall de host en la misma máquina.

Una advertencia sobre Docker: si tu aplicación o WAF se ejecuta en Docker, no supongas que UFW por sí solo controla cada puerto de contenedor publicado. Docker crea sus propias reglas de firewall de forma predeterminada, así que vincula los contenedores backend a localhost o a redes privadas de Docker cuando sea posible, y expón solo los puertos de cara al WAF que realmente pretendes publicar.

¿Necesitas tanto un firewall de host como un WAF?

Sí, si ejecutas una aplicación web pública, protegen capas diferentes. El firewall de host (UFW o firewalld) controla qué puertos están abiertos y es la base de todo VPS. Un WAF inspecciona el tráfico HTTP que fluye a través de esos puertos abiertos en busca de ataques de la capa de aplicación. El WAF no sustituye al firewall de host; se sitúa detrás de él.

El firewall de host es innegociable. Todo VPS lo necesita, tenga aplicación web o no, porque es lo que impide que el resto de internet alcance servicios que nunca quisiste exponer. El WAF es condicional. Añádelo cuando sirvas tráfico HTTP o HTTPS que pueda ser atacado en la capa de aplicación: una API pública, un CMS, cualquier cosa que reciba entrada de usuario a través de la web. Un sitio estático o un servicio de uso interno detrás de una VPN puede no necesitar un WAF en absoluto; en ese caso el firewall de host por sí solo es la respuesta correcta, y añadir un WAF es una carga que no necesitas. Ajusta las capas a lo que realmente ejecutas, no a una lista de comprobación.

Conclusión clave de la sección: El firewall de host es la base de todo VPS. Añade un WAF cuando expongas una aplicación web a internet.

Preguntas frecuentes

¿Está iptables obsoleto en Linux?

En la práctica, sí. nftables reemplazó a iptables como backend de filtrado de paquetes del kernel en el Linux moderno. Pero se trata de un cambio de backend, no de una llamada a la acción. UFW y firewalld ya se apoyan en nftables en las distros actuales, y tus reglas de UFW existentes no necesitan reescribirse. Los comandos del frontend no cambian; solo se movió el motor que hay debajo de ellos.

¿Sigue siendo gratuito pfSense en 2026?

Sí. pfSense Community Edition, actualmente 2.8.1, es gratuito y de código abierto. El truco está en la división CE/Plus: pfSense CE sigue siendo el producto comunitario gratuito, mientras que pfSense Plus es el camino comercial separado para appliances de Netgate, despliegues en la nube y hardware de terceros. Para conocer los términos actuales de Plus y cualquier coste de suscripción, consulta la página de pfSense Plus de Netgate en lugar de fiarte de una cifra de una comparación de terceros.

¿Puedo ejecutar pfSense u OPNsense en un VPS?

Técnicamente posible, pero arquitectónicamente inadecuado en un VPS compartido. Son sistemas operativos de gateway de red que esperan controlar el tráfico entre múltiples interfaces de red, lo que requiere passthrough de NIC que la mayoría de los proveedores de VPS no exponen. En un solo VPS, lo que realmente quieres es un firewall de host (UFW o firewalld) y, para aplicaciones web, un WAF.

¿Necesito un WAF si ya tengo un firewall en mi servidor Linux?

Protegen capas diferentes, así que depende de lo que ejecutes. Un firewall de host controla qué puertos están abiertos; un WAF inspecciona el tráfico HTTP que fluye a través de ellos en busca de ataques de la capa web como inyección SQL y XSS. Si sirves una aplicación web o API pública, añade un WAF por encima del firewall de host. Si solo ejecutas un sitio estático o un servicio interno, el firewall de host por sí solo es suficiente.

¿Cuál es el mejor WAF gratuito para un VPS Linux pequeño?

SafeLine es la opción gratuita más ligera, con un mínimo de 1 GB de RAM ejecutándose en Docker, lo que encaja en un VPS pequeño. BunkerWeb es más completo, pero necesita 8 GB de RAM, así que no es un despliegue para un servidor pequeño. Haltdos Community es una tercera opción gratuita con una UI web; consulta su documentación para conocer los requisitos de recursos actuales antes de dimensionar tu servidor.

Compartir

Más del blog

Sigue leyendo.

¿Listo para desplegar? Desde $2,48/mes.

Cloud independiente desde 2008. AMD EPYC, NVMe, 40 Gbps. Reembolso en 14 días.