A legjobb ingyenes tűzfal egy Linux VPS-hez nem egyetlen eszköz. Egy hoszttűzfalról van szó (az a réteg, amelyre minden szervernek szüksége van), és ha webalkalmazást futtat, egy webalkalmazás-tűzfalról rajta. Ez az útmutató mindkettőt lefedi, megnevezi az egyes rétegek legerősebb ingyenes vagy nyílt forráskódú tűzfalait, és megmondja, mennyibe kerül mindegyik RAM és beállítási ráfordítás terén. A Linux VPS üzemeltetőkre koncentrál. Nem egy Windows-összefoglaló.
A rövid verzió
- A „legjobb ingyenes tűzfal” négy különböző terméket jelent: Linux hoszttűzfalak, hálózati tűzfal-disztribúciók, webalkalmazás-tűzfalak (WAF-ok) és Windows-os otthoni eszközök. Ezek közül csak az első és a harmadik való egy VPS-re.
- A hosztrétegen használja a legegyszerűbb eszközt, amely illik a disztribúciójához: UFW az Ubuntun, firewalld a RHEL-családban, és Debianon vagy UFW, vagy közvetlenül nftables attól függően, mennyi vezérlésre van szüksége. A modern frontend eszközök általában nftables-re épülnek, de maga az nftables az alapértelmezett és ajánlott keretrendszer Debianon.
- A WAF egy külön, kiegészítő réteg a webalkalmazásokhoz. Nem a hoszttűzfal helyettesítője.
- A SafeLine a legkönnyebb ingyenes WAF (1 GB RAM). A BunkerWeb a legfunkciógazdagabb, de 8 GB-ot igényel. A Haltdos Community egy harmadik ingyenes lehetőség webes UI-val.
Amit ez az útmutató kihagy
Néhány tűzfal-kategória, amely más „legjobb ingyenes tűzfal” listákon felbukkan, itt nem releváns, és ha egyszer megnevezzük őket, azzal megmenekül attól, hogy rossz eszközt hajszoljon.
- Windows-os és otthoni végpont-tűzfalak (ZoneAlarm, Comodo, TinyWall). Rossz operációs rendszer, rossz gép.
- Fizetős kereskedelmi és vállalati tűzfalak (Cisco ASA, Palo Alto, Fortinet). Kívül esnek az „ingyenes” körön.
- Felhő-WAF SaaS (Cloudflare, Sucuri). Legitim, de DNS/proxy-alapú, és kívül esik ezen az önállóan üzemeltetett VPS-körön. A Cloudflare kínál egy ingyenes alap WAF-szabálykészletet, míg a teljesebb menedzselt szabály- és OWASP szabálykészlet-lefedettség csomagfüggő.
- pfSense vagy OPNsense átjáróként való futtatása egy megosztott VPS-en. Architekturálisan alkalmatlan NIC passthrough nélkül. A hálózati disztribúciók szakaszában elmagyarázzuk.
Mit is jelent valójában a „legjobb ingyenes tűzfal” (négy kategória)
A keresőkifejezés azért kavarja össze az embert, mert négy olyan terméket takar, amelyek négy különböző problémát oldanak meg négy különböző gépen. Előbb sorolja be magát egy kategóriába, aztán válasszon eszközt.
- Linux hoszt/VPS tűzfalak: olyan szoftver, amely ugyanazon a gépen fut, mint a szolgáltatásai, és azt vezérli, mely portok érhetők el. UFW, firewalld és nftables. Ez az a réteg, amelyre minden VPS-nek szüksége van.
- Hálózati tűzfal-disztribúciók: egy tűzfalmotor köré épülő teljes operációs rendszerek, amelyeket egy dedikált gépre vagy VM-re telepítenek egy egész hálózat védelmére. OPNsense, pfSense, IPFire. Ezek egy homelabhez vagy egy irodai LAN-hoz valók, nem ahhoz a VPS-hez, amelyet védeni próbál.
- Webalkalmazás-tűzfalak (WAF-ok): fordított proxyk, amelyek a HTTP-forgalmat webréteg-szintű támadások, például SQL-injekció, XSS és az OWASP Top 10 többi eleme szempontjából vizsgálják. SafeLine, BunkerWeb, Haltdos, ModSecurity. Ezek egy, a VPS-én futó webalkalmazáshoz vagy API-hoz valók.
- Otthoni/Windows végpont-tűzfalak: asztali szoftver, amely alkalmazásonként vezérli az internet-hozzáférést Windowson. Csak azért nevezzük meg itt, hogy kizárjuk.
Egy VPS-en az 1. és a 3. kategóriát futtatja. A 2. kategória egy másik gépen fut. A 4. kategória egy másik operációs rendszeren fut. Az Ön helyzetéhez megfelelő ingyenes vagy nyílt forráskódú tűzfal az az 1. kategóriás, és esetleg 3. kategóriás eszköz, amely illik a disztribúciójához és a forgalmához.
Gyors ítélet: A legtöbb VPS-üzemeltető használjon UFW-t a hoszthoz, és adja hozzá a SafeLine-t, ha webalkalmazást futtat, és WAF-ot szeretne anélkül, hogy egy 8 GB-os szervert kellene beüzemelnie.
A szakasz fő tanulsága: Egy VPS-en hoszttűzfalak és WAF-ok közül választ. A hálózati disztribúciók és az otthoni eszközök más gépekhez való, más termékek.
Hoszttűzfalak: UFW kontra nftables kontra firewalld
A hoszttűzfal az az egyetlen réteg, amelyre mindig szüksége van. Azt vezérli, hogy a szerverén mely portok fogadnak kapcsolatokat, és egy friss VPS-en ez a különbség egy lezárt és egy nyitott gép között. Ubuntun ez a tűzfal általában az UFW. A RHEL-családba tartozó disztribúciókon a firewalld. Debianon az UFW egy egyszerű hoszttűzfal-frontend, de a Debian alapértelmezett és ajánlott tűzfalkeretrendszere az nftables.
A három lehetőség tisztán elkülönül disztribúció és a szükséges vezérlés mértéke szerint:
| Eszköz | Disztribúció alapértelmezettje | Felület | A legjobb választás: | Bonyolultság |
|---|---|---|---|---|
| UFW | Ubuntu, gyakori egyszerű lehetőség Debianon | CLI | Egyetlen VPS, a gyakori eset | Alacsony |
| firewalld | RHEL, CentOS, AlmaLinux, Rocky | CLI (zóna-alapú) + systemd | RHEL-családba tartozó szerverek, zóna-alapú szabályok | Közepes |
| nftables | A motor mindkettő alatt | Konfigurációs fájl / CLI | Több ezer szabály, finomhangolt vezérlés, nagy áteresztőképesség | Magas |
Az UFW az Ubuntu alapértelmezett tűzfal-konfigurációs eszköze és egy gyakori, egyszerű választás Debianon, de a Debian alapértelmezett tűzfalkeretrendszere az nftables. Egyetlen VPS esetén az UFW továbbra is a legegyszerűbb kiindulópont, ha csak egy kis engedélyező/tiltó szabálykészletre van szüksége. A CLI a három közül a legegyszerűbb, a szabályok automatikusan megmaradnak az újraindítások között, és néhány parancs lefed mindent, amire a legtöbb VPS-üzemeltetőnek szüksége van. A korlátja a haladó szabályokban van: az összetett halmaz-alapú logika vagy a finomhangolt illesztés kényelmetlen az UFW-ben.
A firewalld az alapértelmezett a RHEL, CentOS, AlmaLinux és Rocky rendszereken. Zóna-alapú, integrálódik a systemd-vel, és képességesebb az UFW-nél a forgalom interfész vagy megbízhatósági szint szerinti szegmentálásában. Ez az erő beállítási időbe kerül. Ha egy RHEL-családba tartozó VPS-en van, a firewalld már ott van, és a legkisebb ellenállás útja.
Az nftables az a kernel-szintű motor, amely mindkettő alatt helyezkedik el. Közvetlenül akkor használja, amikor valóban szüksége van a szabály-léptékére vagy a sebességére: több ezer szabály, nagy teljesítményű szűrés vagy olyan vezérlés, amelyet egy frontend nem tesz elérhetővé. A Better Stack UFW kontra nftables összehasonlításaszerint az nftables 10-100-szor gyorsabban fut, mint az iptables, amint több ezer szabály van jelen. Ez a szám az nftables az iptables-szel szemben, nem az UFW az iptables-szel szemben. Egy tipikus, néhány engedélyező szabállyal rendelkező VPS esetén nem fogja érezni ezt a különbséget, és a meredekebb tanulási görbe, valamint a barátságos UI hiánya nem éri meg a ráfordítást. Van egy biztonsági szempont is, amit szem előtt kell tartani: az nftables-ben voltak valódi kernelhibák, köztük a CVE-2025-40206, ezért tartsa naprakészen a kerneljét. Ez ok arra, hogy naprakész maradjon, nem ok arra, hogy kerülje azt a háttérrendszert, amelyet már futtat.
Ha az UFW-szabályokhoz szeretne útmutatót, a Cloudzy UFW-parancsútmutató lépésről lépésre végigveszi a parancsokat. Ez a szakasz az eszköz kiválasztásáról szól, nem a szabályok megírásáról.
Profi tipp: Az „az iptables elavult” nem azt jelenti, hogy tennivalója van. Az nftables leváltotta az iptables-t mint kernel-háttérrendszert, és az UFW és a firewalld a modern disztribúciókon már az nftables-re épül. A meglévő UFW-szabályait nem kell átírni; a frontend-parancs ugyanaz, csak az alatta lévő motor változott. Ha nyers iptables-ről érkezik, és meg szeretné érteni az átmenetet, a Cloudzy iptables-szabályok referencia továbbra is érvényes, mivel az Ön által megírt szabályok leképeződnek az új háttérrendszerre.
A szakasz fő tanulsága: Használja a disztribúciója szokásos útját: UFW az Ubuntun, firewalld a RHEL-családban, és UFW vagy közvetlenül nftables Debianon attól függően, mennyi vezérlésre van szüksége. Csak akkor nyúljon közvetlenül az nftables-hez, ha valóban szüksége van a szabály-léptékére vagy a sebességére.
Hálózati tűzfal-disztribúciók: hova illik az OPNsense és a pfSense (és miért nem a VPS-ére)
Az OPNsense, a pfSense és az IPFire teljes operációs rendszerek egy dedikált géphez vagy VM-hez, amely egy egész hálózatot véd. Nem olyasmi, amit azon a VPS-en futtat, amelyet védeni próbál. Érdemes ismerni őket, mert a keresési találatok elé fogják tenni őket, úgyhogy itt van, hova illenek és hova nem.
Mikor akarna valóban egyet: egy homelab vagy egy kisirodai LAN, dedikált hardveren vagy egy NIC passthrough-val rendelkező VM-en, a hálózata és az internet között elhelyezkedve. Akár egy szekrényrakat irodai gépet véd, akár egy személyes labort, amelyet kitesz az internetre, ez az a kategória, amely elvégzi a feladatot.
Miért rossz eszköz egy megosztott VPS-en: ezek a disztribúciók azt várják, hogy több hálózati interfész közötti forgalmat vezéreljenek. Egy megosztott VPS-en ez NIC passthrough-t jelent, amelyet a legtöbb szolgáltató nem tesz elérhetővé. Enélkül egy hálózati átjáró OS-t futtat egy olyan gépen, amelynek nincs hálózata, amelyet átjáróznia kellene. Ha egyetlen VPS-e van, ez az egész kategória a rossz réteg, és az UFW plusz egy WAF a jó.
A három ingyenes lehetőség 2026-ban, röviden:
- OPNsense (BSD-licenc alatt, jelenlegi stabil CE-sorozat: 26.1, a 2026. július 1-jén kiadott 26.1.11-gyel). Teljesen nyílt forráskódú, gyakran frissül, és nincs ugyanolyan CE/Plus modellre szétosztva, mint a pfSense. Ez teszi a letisztultabb ingyenes hálózati eszközválasztássá sok olyan felhasználó számára, akik teljesen nyílt forráskódú tűzfal-disztribúciót szeretnének funkciószint-zűrzavar nélkül.
- pfSense Community Edition (jelenlegi CE-kiadás: 2.8.1, 2025 szeptemberében kiadva). Továbbra is ingyenes és nyílt forráskódú, nagyobb dokumentációs és közösségi könyvtárral, mint az OPNsense. A csapda a CE/Plus szétválasztás: a pfSense CE marad az ingyenes közösségi termék, míg a pfSense Plus a különálló kereskedelmi út a Netgate eszközökhöz, felhős telepítésekhez és harmadik féltől származó hardverekhez. A jelenlegi Plus feltételekért nézze meg a Netgate pfSense Plus oldalát ahelyett, hogy egy összehasonlító bejegyzés számában bízna.
- IPFire (a legújabb 2.29 Core Update 202, az IPFire kiadási blogszerint). Könnyebb erőforráslábnyom, mint a másik kettőnek, kisebb közösséggel. Ésszerű választás, ha karcsúbb eszközt szeretne, és nincs szüksége az OPNsense bővítmény-választékára.
Ezek az összefoglalók a jelenlegi dokumentáción és a kiadási megjegyzéseken alapulnak. Tesztelje bármely hálózati tűzfal-disztribúciót egy VM-ben, mielőtt egy valódi hálózatnál támaszkodna rá.
A szakasz fő tanulsága: Ha van védendő hálózata és egy tartalék gépe, az OPNsense az ingyenes választás 2026-ban. Ha egyetlen VPS-e van, ez az egész kategória a rossz réteg.
Webalkalmazás-tűzfalak: SafeLine kontra BunkerWeb kontra Haltdos
A hoszttűzfal azt vezérli, mely portok nyitottak. A WAF valami mást csinál: a HTTP-forgalmat webréteg-szintű támadások, például SQL-injekció, XSS és az OWASP Top 10 többi eleme szempontjából vizsgálja, amelyeket egy port-alapú tűzfal nem lát. Ha webalkalmazást vagy API-t futtat a VPS-én, a WAF egy második, kiegészítő réteg. Nem a hoszttűzfal helyettesítője; a kettő a verem különböző pontjain helyezkedik el.
VPS-telepítéseknél kezdje az erőforráslábnyommal. Az a WAF, amely illik a RAM-keretébe, általában az, amelyet ténylegesen futásban tud tartani.
| WAF | RAM-alsó határ | Licenc | Telepítés | Felügyeleti felhasználói felület |
|---|---|---|---|---|
| SafeLine | 1 GB | GPL-3.0 licenc | Docker | Webes felhasználói felület |
| BunkerWeb | 8 GB | AGPLv3 | Docker (NGINX fordított proxy) | Webes felhasználói felület |
| Haltdos Community | 2 GB | Ingyenes közösségi kiadás | VM, Docker vagy hardver | Webes felhasználói felület |
SafeLine a legkönnyebb belépési pont. A GitHub-tárolója önállóan üzemeltetett WAF/fordított proxyként azonosítja GPL-3.0 licenc alatt. Harmadik féltől származó telepítési leírás 1 CPU-magban, 1 GB RAM-ban és 5 GB lemezben adja meg a minimumát, Docker 20.10.14-gyel vagy újabbal, és Docker Compose 2.0.0-val vagy újabbal. A SafeLine szemantikai elemzést használ ahelyett, hogy csak egy hagyományos szabálylistára támaszkodna, de a publikált észlelési arány számait projekt/gyártó által megadott állításokként kell kezelni, nem független benchmark-eredményekként. Pusztán az erőforrások alapján a SafeLine továbbra is a kis VPS-hez való választás.
BunkerWeb a legfunkciógazdagabb és a legnehezebb. Egy NGINX-alapú, fordított proxyt használó WAF AGPLv3 alatt, amely a ModSecurity-re épül az OWASP Core Rule Set-tel. Az ára RAM. A BunkerWeb saját dokumentációja 2 vCPU-t és 8 GB RAM-ot ad meg minimális ajánlott specifikációként, és 4 vCPU-t 16 GB-tal a sok szolgáltatással rendelkező éles üzemhez.
Haltdos Community a harmadik ingyenes lehetőség. A közösségi kiadás oldala OWASP Top 10-lefedettséget, DDoS- és botvédelmet, sebességkorlátozást, beépített szabályokat és egy webalapú kezelő GUI-t sorol fel. A dokumentációja 2 GB RAM-ot, 60 GB lemezt és legalább 2 vCPU-t ad meg minimális követelményként, VM, Docker vagy hardver telepítési támogatásával.
SafeLine, BunkerWeb, és Haltdos mind elérhetők egykattintásos telepítésként a Cloudzy piactéren, és kézzel is futnak bármely VPS-en. Akár egy ügyfélnek szánt API-t véd, akár egy személyes szolgáltatást, amelyet kitesz az internetre, a réteg ugyanaz; a választás leginkább arról szól, mennyi RAM-ot hajlandó adni neki.
A szakasz fő tanulsága: A WAF a hoszttűzfaltól különálló réteg. A SafeLine a legkönnyebb ingyenes lehetőség; a BunkerWeb a legfunkciógazdagabb, de sokkal nagyobb szervert igényel.
Ha eldöntötte, hogy egy WAF a szerverére való, a telepítési lépésnél tud a piactér időt megspórolni. A SafeLine és a BunkerWeb egyaránt Dockerben fut, ami általában egy Compose-fájlt, fordított proxy konfigurációt és első futtatáskori hibakeresést jelent. A Cloudzy piactér SafeLine-, BunkerWeb- és Haltdos-lehetőségei átugorhatják a kezdeti telepítési lépést, de a felfelé irányuló útválasztást, a DNS-t, a TLS-t, a téves pozitívok kezelését és a hoszttűzfal-szabályokat továbbra is önnek kell konfigurálnia. Maga a hoszttűzfal-réteg könnyű súlyú, és általában elérhető a disztribúció csomagjaiból; győződjön meg róla, hogy telepítve, konfigurálva és engedélyezve van, mielőtt szolgáltatásokat tenne közzé. Méretezze a csomagot a WAF-hoz: 1 GB rendben van a SafeLine-hoz, de a BunkerWeb 8 GB-os alsó határa nagyobb példányt jelent. Telepíthet egy WAF-ot egy Cloudzy Linux VPS és futtathatja a hoszttűzfalát ugyanazon a gépen.
Egy Docker-figyelmeztetés: ha az alkalmazása vagy WAF-ja Dockerben fut, ne feltételezze, hogy önmagában az UFW vezérel minden közzétett konténerportot. A Docker saját tűzfalszabályokat hoz létre alapértelmezés szerint, ezért ahol lehet, kösse a háttérkonténereket a localhosthoz vagy privát Docker-hálózatokhoz, és csak azokat a WAF-fal szemközti portokat tegye közzé, amelyeket ténylegesen publikálni szándékozik.
Szüksége van egyszerre hoszttűzfalra és WAF-ra is?
Igen, ha nyilvános webalkalmazást futtat, mert különböző rétegeket védenek. A hoszttűzfal (UFW vagy firewalld) azt vezérli, mely portok nyitottak, és ez az alap minden VPS-hez. A WAF a nyitott portokon át áramló HTTP-forgalmat alkalmazásréteg-szintű támadások szempontjából vizsgálja. A WAF nem helyettesíti a hoszttűzfalat; mögötte helyezkedik el.
A hoszttűzfal nem képezi vita tárgyát. Minden VPS-nek szüksége van rá, webalkalmazással vagy anélkül, mert ez akadályozza meg, hogy az internet többi része elérje azokat a szolgáltatásokat, amelyeket sosem szánt közzétételre. A WAF feltételes. Akkor adja hozzá, ha olyan HTTP- vagy HTTPS-forgalmat szolgál ki, amelyet az alkalmazásrétegen támadás érhet: egy nyilvános API, egy CMS, bármi, ami felhasználói bemenetet fogad a weben keresztül. Egy statikus oldalnak vagy egy VPN mögötti, kizárólag belső szolgáltatásnak lehet, hogy egyáltalán nincs szüksége WAF-ra; ebben az esetben önmagában a hoszttűzfal a helyes válasz, és egy WAF hozzáadása felesleges teher. Igazítsa a rétegeket ahhoz, amit ténylegesen futtat, ne egy ellenőrzőlistához.
A szakasz fő tanulsága: A hoszttűzfal az alap minden VPS-hez. Adjon hozzá egy WAF-ot, amikor egy webalkalmazást tesz ki az internetre.
Gyakran ismételt kérdések
Elavult-e az iptables Linuxon?
Gyakorlatilag igen. Az nftables leváltotta az iptables-t mint kernel-szintű csomagszűrő háttérrendszert a modern Linuxon. De ez egy háttérrendszer-változás, nem cselekvésre való felszólítás. Az UFW és a firewalld a jelenlegi disztribúciókon már az nftables-re épül, és a meglévő UFW-szabályait nem kell átírni. A frontend-parancsok változatlanok; csak az alattuk lévő motor mozdult el.
Még mindig ingyenes a pfSense 2026-ban?
Igen. A pfSense Community Edition, jelenleg 2.8.1, ingyenes és nyílt forráskódú. A csapda a CE/Plus szétválasztás: a pfSense CE marad az ingyenes közösségi termék, míg a pfSense Plus a különálló kereskedelmi út a Netgate eszközökhöz, felhős telepítésekhez és harmadik féltől származó hardverekhez. A jelenlegi Plus feltételekért és bármilyen előfizetési díjért nézze meg a Netgate pfSense Plus oldalát, ne pedig egy harmadik féltől származó összehasonlítás számában bízzon.
Futtathatom a pfSense-t vagy az OPNsense-t egy VPS-en?
Technikailag lehetséges, de architekturálisan alkalmatlan egy megosztott VPS-en. Ezek hálózati átjáró operációs rendszerek, amelyek azt várják, hogy több hálózati interfész közötti forgalmat vezéreljenek, ami NIC passthrough-t igényel, amelyet a legtöbb VPS-szolgáltató nem tesz elérhetővé. Egyetlen VPS-en valójában egy hoszttűzfalra (UFW vagy firewalld) van szüksége, és webalkalmazásokhoz egy WAF-ra.
Szükségem van WAF-ra, ha már van tűzfal a Linux szerveremen?
Különböző rétegeket védenek, ezért attól függ, mit futtat. Egy hoszttűzfal azt vezérli, mely portok nyitottak; egy WAF a rajtuk át áramló HTTP-forgalmat webréteg-szintű támadások, például SQL-injekció és XSS szempontjából vizsgálja. Ha nyilvános webalkalmazást vagy API-t szolgál ki, adjon egy WAF-ot a hoszttűzfal fölé. Ha csak egy statikus oldalt vagy egy belső szolgáltatást futtat, önmagában a hoszttűzfal elegendő.
Melyik a legjobb ingyenes WAF egy kis Linux VPS-hez?
A SafeLine a legkönnyebb ingyenes lehetőség, 1 GB RAM minimummal, Dockerben futtatva, ami illik egy kis VPS-re. A BunkerWeb funkciógazdagabb, de 8 GB RAM-ra van szüksége, ezért nem kis szerveres telepítés. A Haltdos Community egy harmadik ingyenes lehetőség webes UI-val; nézze meg a dokumentációját a jelenlegi erőforrásigényekért, mielőtt méretezné a szerverét.