Ugrás a fő tartalomra
50% kedvezmény minden csomagra, korlátozott ideig. Már $2.48/mo
14 min left
Biztonság és hálózat

A legjobb ingyenes tűzfalak Linux VPS-hez

C Szerző: Chike 14 perc olvasás
Diagram showing the best free firewall layers for a Linux VPS: a host firewall controlling ports and a WAF inspecting HTTP traffic

A legjobb ingyenes tűzfal egy Linux VPS-hez nem egyetlen eszköz. Egy hoszttűzfalról van szó (az a réteg, amelyre minden szervernek szüksége van), és ha webalkalmazást futtat, egy webalkalmazás-tűzfalról rajta. Ez az útmutató mindkettőt lefedi, megnevezi az egyes rétegek legerősebb ingyenes vagy nyílt forráskódú tűzfalait, és megmondja, mennyibe kerül mindegyik RAM és beállítási ráfordítás terén. A Linux VPS üzemeltetőkre koncentrál. Nem egy Windows-összefoglaló.

A rövid verzió

  • A „legjobb ingyenes tűzfal” négy különböző terméket jelent: Linux hoszttűzfalak, hálózati tűzfal-disztribúciók, webalkalmazás-tűzfalak (WAF-ok) és Windows-os otthoni eszközök. Ezek közül csak az első és a harmadik való egy VPS-re.
  • A hosztrétegen használja a legegyszerűbb eszközt, amely illik a disztribúciójához: UFW az Ubuntun, firewalld a RHEL-családban, és Debianon vagy UFW, vagy közvetlenül nftables attól függően, mennyi vezérlésre van szüksége. A modern frontend eszközök általában nftables-re épülnek, de maga az nftables az alapértelmezett és ajánlott keretrendszer Debianon.
  • A WAF egy külön, kiegészítő réteg a webalkalmazásokhoz. Nem a hoszttűzfal helyettesítője.
  • A SafeLine a legkönnyebb ingyenes WAF (1 GB RAM). A BunkerWeb a legfunkciógazdagabb, de 8 GB-ot igényel. A Haltdos Community egy harmadik ingyenes lehetőség webes UI-val.

Amit ez az útmutató kihagy

Néhány tűzfal-kategória, amely más „legjobb ingyenes tűzfal” listákon felbukkan, itt nem releváns, és ha egyszer megnevezzük őket, azzal megmenekül attól, hogy rossz eszközt hajszoljon.

  • Windows-os és otthoni végpont-tűzfalak (ZoneAlarm, Comodo, TinyWall). Rossz operációs rendszer, rossz gép.
  • Fizetős kereskedelmi és vállalati tűzfalak (Cisco ASA, Palo Alto, Fortinet). Kívül esnek az „ingyenes” körön.
  • Felhő-WAF SaaS (Cloudflare, Sucuri). Legitim, de DNS/proxy-alapú, és kívül esik ezen az önállóan üzemeltetett VPS-körön. A Cloudflare kínál egy ingyenes alap WAF-szabálykészletet, míg a teljesebb menedzselt szabály- és OWASP szabálykészlet-lefedettség csomagfüggő.
  • pfSense vagy OPNsense átjáróként való futtatása egy megosztott VPS-en. Architekturálisan alkalmatlan NIC passthrough nélkül. A hálózati disztribúciók szakaszában elmagyarázzuk.

Mit is jelent valójában a „legjobb ingyenes tűzfal” (négy kategória)

The four categories the term best free firewall covers: Linux host firewalls, network firewall distros, web application firewalls, and Windows endpoint tools

A keresőkifejezés azért kavarja össze az embert, mert négy olyan terméket takar, amelyek négy különböző problémát oldanak meg négy különböző gépen. Előbb sorolja be magát egy kategóriába, aztán válasszon eszközt.

  1. Linux hoszt/VPS tűzfalak: olyan szoftver, amely ugyanazon a gépen fut, mint a szolgáltatásai, és azt vezérli, mely portok érhetők el. UFW, firewalld és nftables. Ez az a réteg, amelyre minden VPS-nek szüksége van.
  2. Hálózati tűzfal-disztribúciók: egy tűzfalmotor köré épülő teljes operációs rendszerek, amelyeket egy dedikált gépre vagy VM-re telepítenek egy egész hálózat védelmére. OPNsense, pfSense, IPFire. Ezek egy homelabhez vagy egy irodai LAN-hoz valók, nem ahhoz a VPS-hez, amelyet védeni próbál.
  3. Webalkalmazás-tűzfalak (WAF-ok): fordított proxyk, amelyek a HTTP-forgalmat webréteg-szintű támadások, például SQL-injekció, XSS és az OWASP Top 10 többi eleme szempontjából vizsgálják. SafeLine, BunkerWeb, Haltdos, ModSecurity. Ezek egy, a VPS-én futó webalkalmazáshoz vagy API-hoz valók.
  4. Otthoni/Windows végpont-tűzfalak: asztali szoftver, amely alkalmazásonként vezérli az internet-hozzáférést Windowson. Csak azért nevezzük meg itt, hogy kizárjuk.

Egy VPS-en az 1. és a 3. kategóriát futtatja. A 2. kategória egy másik gépen fut. A 4. kategória egy másik operációs rendszeren fut. Az Ön helyzetéhez megfelelő ingyenes vagy nyílt forráskódú tűzfal az az 1. kategóriás, és esetleg 3. kategóriás eszköz, amely illik a disztribúciójához és a forgalmához.

Gyors ítélet: A legtöbb VPS-üzemeltető használjon UFW-t a hoszthoz, és adja hozzá a SafeLine-t, ha webalkalmazást futtat, és WAF-ot szeretne anélkül, hogy egy 8 GB-os szervert kellene beüzemelnie.

A szakasz fő tanulsága: Egy VPS-en hoszttűzfalak és WAF-ok közül választ. A hálózati disztribúciók és az otthoni eszközök más gépekhez való, más termékek.

Hoszttűzfalak: UFW kontra nftables kontra firewalld

Choosing a Linux host firewall by distro: UFW on Ubuntu, firewalld on RHEL-family, and nftables as the engine underneath both

A hoszttűzfal az az egyetlen réteg, amelyre mindig szüksége van. Azt vezérli, hogy a szerverén mely portok fogadnak kapcsolatokat, és egy friss VPS-en ez a különbség egy lezárt és egy nyitott gép között. Ubuntun ez a tűzfal általában az UFW. A RHEL-családba tartozó disztribúciókon a firewalld. Debianon az UFW egy egyszerű hoszttűzfal-frontend, de a Debian alapértelmezett és ajánlott tűzfalkeretrendszere az nftables.

A három lehetőség tisztán elkülönül disztribúció és a szükséges vezérlés mértéke szerint:

EszközDisztribúció alapértelmezettjeFelületA legjobb választás:Bonyolultság
UFWUbuntu, gyakori egyszerű lehetőség DebianonCLIEgyetlen VPS, a gyakori esetAlacsony
firewalldRHEL, CentOS, AlmaLinux, RockyCLI (zóna-alapú) + systemdRHEL-családba tartozó szerverek, zóna-alapú szabályokKözepes
nftablesA motor mindkettő alattKonfigurációs fájl / CLITöbb ezer szabály, finomhangolt vezérlés, nagy áteresztőképességMagas

Az UFW az Ubuntu alapértelmezett tűzfal-konfigurációs eszköze és egy gyakori, egyszerű választás Debianon, de a Debian alapértelmezett tűzfalkeretrendszere az nftables. Egyetlen VPS esetén az UFW továbbra is a legegyszerűbb kiindulópont, ha csak egy kis engedélyező/tiltó szabálykészletre van szüksége. A CLI a három közül a legegyszerűbb, a szabályok automatikusan megmaradnak az újraindítások között, és néhány parancs lefed mindent, amire a legtöbb VPS-üzemeltetőnek szüksége van. A korlátja a haladó szabályokban van: az összetett halmaz-alapú logika vagy a finomhangolt illesztés kényelmetlen az UFW-ben.

A firewalld az alapértelmezett a RHEL, CentOS, AlmaLinux és Rocky rendszereken. Zóna-alapú, integrálódik a systemd-vel, és képességesebb az UFW-nél a forgalom interfész vagy megbízhatósági szint szerinti szegmentálásában. Ez az erő beállítási időbe kerül. Ha egy RHEL-családba tartozó VPS-en van, a firewalld már ott van, és a legkisebb ellenállás útja.

Az nftables az a kernel-szintű motor, amely mindkettő alatt helyezkedik el. Közvetlenül akkor használja, amikor valóban szüksége van a szabály-léptékére vagy a sebességére: több ezer szabály, nagy teljesítményű szűrés vagy olyan vezérlés, amelyet egy frontend nem tesz elérhetővé. A Better Stack UFW kontra nftables összehasonlításaszerint az nftables 10-100-szor gyorsabban fut, mint az iptables, amint több ezer szabály van jelen. Ez a szám az nftables az iptables-szel szemben, nem az UFW az iptables-szel szemben. Egy tipikus, néhány engedélyező szabállyal rendelkező VPS esetén nem fogja érezni ezt a különbséget, és a meredekebb tanulási görbe, valamint a barátságos UI hiánya nem éri meg a ráfordítást. Van egy biztonsági szempont is, amit szem előtt kell tartani: az nftables-ben voltak valódi kernelhibák, köztük a CVE-2025-40206, ezért tartsa naprakészen a kerneljét. Ez ok arra, hogy naprakész maradjon, nem ok arra, hogy kerülje azt a háttérrendszert, amelyet már futtat.

Ha az UFW-szabályokhoz szeretne útmutatót, a Cloudzy UFW-parancsútmutató lépésről lépésre végigveszi a parancsokat. Ez a szakasz az eszköz kiválasztásáról szól, nem a szabályok megírásáról.

Profi tipp: Az „az iptables elavult” nem azt jelenti, hogy tennivalója van. Az nftables leváltotta az iptables-t mint kernel-háttérrendszert, és az UFW és a firewalld a modern disztribúciókon már az nftables-re épül. A meglévő UFW-szabályait nem kell átírni; a frontend-parancs ugyanaz, csak az alatta lévő motor változott. Ha nyers iptables-ről érkezik, és meg szeretné érteni az átmenetet, a Cloudzy iptables-szabályok referencia továbbra is érvényes, mivel az Ön által megírt szabályok leképeződnek az új háttérrendszerre.

A szakasz fő tanulsága: Használja a disztribúciója szokásos útját: UFW az Ubuntun, firewalld a RHEL-családban, és UFW vagy közvetlenül nftables Debianon attól függően, mennyi vezérlésre van szüksége. Csak akkor nyúljon közvetlenül az nftables-hez, ha valóban szüksége van a szabály-léptékére vagy a sebességére.

Hálózati tűzfal-disztribúciók: hova illik az OPNsense és a pfSense (és miért nem a VPS-ére)

Az OPNsense, a pfSense és az IPFire teljes operációs rendszerek egy dedikált géphez vagy VM-hez, amely egy egész hálózatot véd. Nem olyasmi, amit azon a VPS-en futtat, amelyet védeni próbál. Érdemes ismerni őket, mert a keresési találatok elé fogják tenni őket, úgyhogy itt van, hova illenek és hova nem.

Mikor akarna valóban egyet: egy homelab vagy egy kisirodai LAN, dedikált hardveren vagy egy NIC passthrough-val rendelkező VM-en, a hálózata és az internet között elhelyezkedve. Akár egy szekrényrakat irodai gépet véd, akár egy személyes labort, amelyet kitesz az internetre, ez az a kategória, amely elvégzi a feladatot.

Miért rossz eszköz egy megosztott VPS-en: ezek a disztribúciók azt várják, hogy több hálózati interfész közötti forgalmat vezéreljenek. Egy megosztott VPS-en ez NIC passthrough-t jelent, amelyet a legtöbb szolgáltató nem tesz elérhetővé. Enélkül egy hálózati átjáró OS-t futtat egy olyan gépen, amelynek nincs hálózata, amelyet átjáróznia kellene. Ha egyetlen VPS-e van, ez az egész kategória a rossz réteg, és az UFW plusz egy WAF a jó.

A három ingyenes lehetőség 2026-ban, röviden:

  • OPNsense (BSD-licenc alatt, jelenlegi stabil CE-sorozat: 26.1, a 2026. július 1-jén kiadott 26.1.11-gyel). Teljesen nyílt forráskódú, gyakran frissül, és nincs ugyanolyan CE/Plus modellre szétosztva, mint a pfSense. Ez teszi a letisztultabb ingyenes hálózati eszközválasztássá sok olyan felhasználó számára, akik teljesen nyílt forráskódú tűzfal-disztribúciót szeretnének funkciószint-zűrzavar nélkül.
  • pfSense Community Edition (jelenlegi CE-kiadás: 2.8.1, 2025 szeptemberében kiadva). Továbbra is ingyenes és nyílt forráskódú, nagyobb dokumentációs és közösségi könyvtárral, mint az OPNsense. A csapda a CE/Plus szétválasztás: a pfSense CE marad az ingyenes közösségi termék, míg a pfSense Plus a különálló kereskedelmi út a Netgate eszközökhöz, felhős telepítésekhez és harmadik féltől származó hardverekhez. A jelenlegi Plus feltételekért nézze meg a Netgate pfSense Plus oldalát ahelyett, hogy egy összehasonlító bejegyzés számában bízna.
  • IPFire (a legújabb 2.29 Core Update 202, az IPFire kiadási blogszerint). Könnyebb erőforráslábnyom, mint a másik kettőnek, kisebb közösséggel. Ésszerű választás, ha karcsúbb eszközt szeretne, és nincs szüksége az OPNsense bővítmény-választékára.

Ezek az összefoglalók a jelenlegi dokumentáción és a kiadási megjegyzéseken alapulnak. Tesztelje bármely hálózati tűzfal-disztribúciót egy VM-ben, mielőtt egy valódi hálózatnál támaszkodna rá.

A szakasz fő tanulsága: Ha van védendő hálózata és egy tartalék gépe, az OPNsense az ingyenes választás 2026-ban. Ha egyetlen VPS-e van, ez az egész kategória a rossz réteg.

Webalkalmazás-tűzfalak: SafeLine kontra BunkerWeb kontra Haltdos

Comparing three free web application firewalls for a VPS: SafeLine at 1 GB RAM, BunkerWeb at 8 GB, and Haltdos Community at 2 GB, each with a web UI

A hoszttűzfal azt vezérli, mely portok nyitottak. A WAF valami mást csinál: a HTTP-forgalmat webréteg-szintű támadások, például SQL-injekció, XSS és az OWASP Top 10 többi eleme szempontjából vizsgálja, amelyeket egy port-alapú tűzfal nem lát. Ha webalkalmazást vagy API-t futtat a VPS-én, a WAF egy második, kiegészítő réteg. Nem a hoszttűzfal helyettesítője; a kettő a verem különböző pontjain helyezkedik el.

VPS-telepítéseknél kezdje az erőforráslábnyommal. Az a WAF, amely illik a RAM-keretébe, általában az, amelyet ténylegesen futásban tud tartani.

WAFRAM-alsó határLicencTelepítésFelügyeleti felhasználói felület
SafeLine1 GBGPL-3.0 licencDockerWebes felhasználói felület
BunkerWeb8 GBAGPLv3Docker (NGINX fordított proxy)Webes felhasználói felület
Haltdos Community2 GBIngyenes közösségi kiadásVM, Docker vagy hardverWebes felhasználói felület

SafeLine a legkönnyebb belépési pont. A GitHub-tárolója önállóan üzemeltetett WAF/fordított proxyként azonosítja GPL-3.0 licenc alatt. Harmadik féltől származó telepítési leírás 1 CPU-magban, 1 GB RAM-ban és 5 GB lemezben adja meg a minimumát, Docker 20.10.14-gyel vagy újabbal, és Docker Compose 2.0.0-val vagy újabbal. A SafeLine szemantikai elemzést használ ahelyett, hogy csak egy hagyományos szabálylistára támaszkodna, de a publikált észlelési arány számait projekt/gyártó által megadott állításokként kell kezelni, nem független benchmark-eredményekként. Pusztán az erőforrások alapján a SafeLine továbbra is a kis VPS-hez való választás.

BunkerWeb a legfunkciógazdagabb és a legnehezebb. Egy NGINX-alapú, fordított proxyt használó WAF AGPLv3 alatt, amely a ModSecurity-re épül az OWASP Core Rule Set-tel. Az ára RAM. A BunkerWeb saját dokumentációja 2 vCPU-t és 8 GB RAM-ot ad meg minimális ajánlott specifikációként, és 4 vCPU-t 16 GB-tal a sok szolgáltatással rendelkező éles üzemhez.

Haltdos Community a harmadik ingyenes lehetőség. A közösségi kiadás oldala OWASP Top 10-lefedettséget, DDoS- és botvédelmet, sebességkorlátozást, beépített szabályokat és egy webalapú kezelő GUI-t sorol fel. A dokumentációja 2 GB RAM-ot, 60 GB lemezt és legalább 2 vCPU-t ad meg minimális követelményként, VM, Docker vagy hardver telepítési támogatásával.

SafeLine, BunkerWeb, és Haltdos mind elérhetők egykattintásos telepítésként a Cloudzy piactéren, és kézzel is futnak bármely VPS-en. Akár egy ügyfélnek szánt API-t véd, akár egy személyes szolgáltatást, amelyet kitesz az internetre, a réteg ugyanaz; a választás leginkább arról szól, mennyi RAM-ot hajlandó adni neki.

A szakasz fő tanulsága: A WAF a hoszttűzfaltól különálló réteg. A SafeLine a legkönnyebb ingyenes lehetőség; a BunkerWeb a legfunkciógazdagabb, de sokkal nagyobb szervert igényel.

Ha eldöntötte, hogy egy WAF a szerverére való, a telepítési lépésnél tud a piactér időt megspórolni. A SafeLine és a BunkerWeb egyaránt Dockerben fut, ami általában egy Compose-fájlt, fordított proxy konfigurációt és első futtatáskori hibakeresést jelent. A Cloudzy piactér SafeLine-, BunkerWeb- és Haltdos-lehetőségei átugorhatják a kezdeti telepítési lépést, de a felfelé irányuló útválasztást, a DNS-t, a TLS-t, a téves pozitívok kezelését és a hoszttűzfal-szabályokat továbbra is önnek kell konfigurálnia. Maga a hoszttűzfal-réteg könnyű súlyú, és általában elérhető a disztribúció csomagjaiból; győződjön meg róla, hogy telepítve, konfigurálva és engedélyezve van, mielőtt szolgáltatásokat tenne közzé. Méretezze a csomagot a WAF-hoz: 1 GB rendben van a SafeLine-hoz, de a BunkerWeb 8 GB-os alsó határa nagyobb példányt jelent. Telepíthet egy WAF-ot egy Cloudzy Linux VPS és futtathatja a hoszttűzfalát ugyanazon a gépen.

Egy Docker-figyelmeztetés: ha az alkalmazása vagy WAF-ja Dockerben fut, ne feltételezze, hogy önmagában az UFW vezérel minden közzétett konténerportot. A Docker saját tűzfalszabályokat hoz létre alapértelmezés szerint, ezért ahol lehet, kösse a háttérkonténereket a localhosthoz vagy privát Docker-hálózatokhoz, és csak azokat a WAF-fal szemközti portokat tegye közzé, amelyeket ténylegesen publikálni szándékozik.

Szüksége van egyszerre hoszttűzfalra és WAF-ra is?

Igen, ha nyilvános webalkalmazást futtat, mert különböző rétegeket védenek. A hoszttűzfal (UFW vagy firewalld) azt vezérli, mely portok nyitottak, és ez az alap minden VPS-hez. A WAF a nyitott portokon át áramló HTTP-forgalmat alkalmazásréteg-szintű támadások szempontjából vizsgálja. A WAF nem helyettesíti a hoszttűzfalat; mögötte helyezkedik el.

A hoszttűzfal nem képezi vita tárgyát. Minden VPS-nek szüksége van rá, webalkalmazással vagy anélkül, mert ez akadályozza meg, hogy az internet többi része elérje azokat a szolgáltatásokat, amelyeket sosem szánt közzétételre. A WAF feltételes. Akkor adja hozzá, ha olyan HTTP- vagy HTTPS-forgalmat szolgál ki, amelyet az alkalmazásrétegen támadás érhet: egy nyilvános API, egy CMS, bármi, ami felhasználói bemenetet fogad a weben keresztül. Egy statikus oldalnak vagy egy VPN mögötti, kizárólag belső szolgáltatásnak lehet, hogy egyáltalán nincs szüksége WAF-ra; ebben az esetben önmagában a hoszttűzfal a helyes válasz, és egy WAF hozzáadása felesleges teher. Igazítsa a rétegeket ahhoz, amit ténylegesen futtat, ne egy ellenőrzőlistához.

A szakasz fő tanulsága: A hoszttűzfal az alap minden VPS-hez. Adjon hozzá egy WAF-ot, amikor egy webalkalmazást tesz ki az internetre.

Gyakran ismételt kérdések

Elavult-e az iptables Linuxon?

Gyakorlatilag igen. Az nftables leváltotta az iptables-t mint kernel-szintű csomagszűrő háttérrendszert a modern Linuxon. De ez egy háttérrendszer-változás, nem cselekvésre való felszólítás. Az UFW és a firewalld a jelenlegi disztribúciókon már az nftables-re épül, és a meglévő UFW-szabályait nem kell átírni. A frontend-parancsok változatlanok; csak az alattuk lévő motor mozdult el.

Még mindig ingyenes a pfSense 2026-ban?

Igen. A pfSense Community Edition, jelenleg 2.8.1, ingyenes és nyílt forráskódú. A csapda a CE/Plus szétválasztás: a pfSense CE marad az ingyenes közösségi termék, míg a pfSense Plus a különálló kereskedelmi út a Netgate eszközökhöz, felhős telepítésekhez és harmadik féltől származó hardverekhez. A jelenlegi Plus feltételekért és bármilyen előfizetési díjért nézze meg a Netgate pfSense Plus oldalát, ne pedig egy harmadik féltől származó összehasonlítás számában bízzon.

Futtathatom a pfSense-t vagy az OPNsense-t egy VPS-en?

Technikailag lehetséges, de architekturálisan alkalmatlan egy megosztott VPS-en. Ezek hálózati átjáró operációs rendszerek, amelyek azt várják, hogy több hálózati interfész közötti forgalmat vezéreljenek, ami NIC passthrough-t igényel, amelyet a legtöbb VPS-szolgáltató nem tesz elérhetővé. Egyetlen VPS-en valójában egy hoszttűzfalra (UFW vagy firewalld) van szüksége, és webalkalmazásokhoz egy WAF-ra.

Szükségem van WAF-ra, ha már van tűzfal a Linux szerveremen?

Különböző rétegeket védenek, ezért attól függ, mit futtat. Egy hoszttűzfal azt vezérli, mely portok nyitottak; egy WAF a rajtuk át áramló HTTP-forgalmat webréteg-szintű támadások, például SQL-injekció és XSS szempontjából vizsgálja. Ha nyilvános webalkalmazást vagy API-t szolgál ki, adjon egy WAF-ot a hoszttűzfal fölé. Ha csak egy statikus oldalt vagy egy belső szolgáltatást futtat, önmagában a hoszttűzfal elegendő.

Melyik a legjobb ingyenes WAF egy kis Linux VPS-hez?

A SafeLine a legkönnyebb ingyenes lehetőség, 1 GB RAM minimummal, Dockerben futtatva, ami illik egy kis VPS-re. A BunkerWeb funkciógazdagabb, de 8 GB RAM-ra van szüksége, ezért nem kis szerveres telepítés. A Haltdos Community egy harmadik ingyenes lehetőség webes UI-val; nézze meg a dokumentációját a jelenlegi erőforrásigényekért, mielőtt méretezné a szerverét.

Megosztás

Több a blogról

Folytassa az olvasást.

Készen áll a telepítésre? Már 2,48 $/hó-tól.

Független felhő 2008 óta. AMD EPYC, NVMe, 40 Gbps. 14 napos pénzvisszafizetési garancia.