Lewati ke konten utama
diskon 50% semua paket, waktu terbatas. Mulai dari $2.48/mo
14 min left
Keamanan dan Jaringan

Firewall Gratis Terbaik untuk VPS Linux

C Oleh Chike 14 menit baca
Diagram showing the best free firewall layers for a Linux VPS: a host firewall controlling ports and a WAF inspecting HTTP traffic

Firewall gratis terbaik untuk VPS Linux bukanlah satu alat. Ini adalah firewall host (lapisan yang dibutuhkan setiap server) dan, jika Anda menjalankan aplikasi web, sebuah web application firewall di atasnya. Panduan ini membahas keduanya, menyebutkan opsi firewall gratis atau open-source terkuat untuk setiap lapisan, dan menjelaskan berapa biaya masing-masing dalam hal RAM dan upaya penyiapan. Panduan ini ditujukan untuk operator VPS Linux. Ini bukan rangkuman untuk Windows.

Versi Singkat

  • "Firewall gratis terbaik" berarti empat produk yang berbeda: firewall host Linux, distro firewall jaringan, web application firewall (WAF), dan alat konsumen Windows. Hanya yang pertama dan ketiga yang cocok untuk VPS.
  • Pada lapisan host, gunakan alat paling sederhana yang cocok dengan distro Anda: UFW di Ubuntu, firewalld di keluarga RHEL, dan UFW atau nftables langsung di Debian tergantung seberapa banyak kontrol yang Anda butuhkan. Alat frontend modern umumnya berjalan di atas nftables, tetapi nftables sendiri adalah framework default dan yang direkomendasikan di Debian.
  • WAF adalah lapisan terpisah yang melengkapi untuk aplikasi web. Ini bukan pengganti firewall host.
  • SafeLine adalah WAF gratis paling ringan (1 GB RAM). BunkerWeb adalah yang paling lengkap fiturnya tetapi membutuhkan 8 GB. Haltdos Community adalah opsi gratis ketiga dengan UI web.

Apa yang Dilewati Panduan Ini

Beberapa kategori firewall yang muncul di daftar "firewall gratis terbaik" lain tidak berlaku di sini, dan menyebutkannya sekali akan menyelamatkan Anda dari mengejar alat yang salah.

  • Firewall endpoint Windows dan konsumen (ZoneAlarm, Comodo, TinyWall). Sistem operasi yang salah, mesin yang salah.
  • Firewall komersial dan enterprise berbayar (Cisco ASA, Palo Alto, Fortinet). Di luar lingkup "gratis".
  • WAF SaaS berbasis cloud (Cloudflare, Sucuri). Valid, tetapi berbasis DNS/proxy dan di luar lingkup VPS self-hosted ini. Cloudflare memang menawarkan ruleset WAF dasar gratis, sementara cakupan managed-rule dan ruleset OWASP yang lebih lengkap tergantung pada paket.
  • Menjalankan pfSense atau OPNsense sebagai gateway di VPS bersama. Secara arsitektur tidak sesuai tanpa NIC passthrough. Dijelaskan di bagian distro jaringan.

Apa Sebenarnya Arti "Firewall Gratis Terbaik" (Empat Kategori)

The four categories the term best free firewall covers: Linux host firewalls, network firewall distros, web application firewalls, and Windows endpoint tools

Alasan istilah pencarian ini membuat Anda berputar-putar adalah karena mencakup empat produk yang menyelesaikan empat masalah berbeda di empat mesin berbeda. Tentukan dulu kategori Anda, lalu pilih alatnya.

  1. Firewall host/VPS Linux: perangkat lunak yang berjalan di mesin yang sama dengan layanan Anda dan mengontrol port mana yang dapat dijangkau. UFW, firewalld, dan nftables. Ini adalah lapisan yang dibutuhkan setiap VPS.
  2. Distro firewall jaringan: sistem operasi lengkap yang dibangun di sekitar engine firewall, dijalankan pada mesin khusus atau VM untuk melindungi seluruh jaringan. OPNsense, pfSense, IPFire. Ini untuk homelab atau LAN kantor, bukan untuk VPS yang sedang Anda coba lindungi.
  3. Web application firewall (WAF): reverse proxy yang memeriksa traffic HTTP untuk serangan lapisan web seperti SQL injection, XSS, dan sisa OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Ini untuk aplikasi web atau API yang berjalan di VPS Anda.
  4. Firewall endpoint konsumen/Windows: perangkat lunak desktop yang mengontrol akses internet per-aplikasi di Windows. Disebutkan di sini hanya untuk mengecualikannya.

Untuk VPS, kategori 1 dan 3 adalah yang Anda jalankan. Kategori 2 berjalan di mesin yang berbeda. Kategori 4 berjalan di sistem operasi yang berbeda. Opsi firewall gratis atau open-source yang tepat untuk situasi Anda adalah alat mana pun di kategori 1, dan mungkin kategori 3, yang cocok dengan distro dan traffic Anda.

Kesimpulan singkat: Untuk sebagian besar operator VPS, gunakan UFW untuk host, dan tambahkan SafeLine jika Anda menjalankan aplikasi web dan menginginkan WAF tanpa harus menyiapkan server 8 GB.

Inti utama bagian ini: Di VPS, Anda memilih di antara firewall host dan WAF. Distro jaringan dan alat konsumen adalah produk yang berbeda untuk mesin yang berbeda.

Firewall Host: UFW vs nftables vs firewalld

Choosing a Linux host firewall by distro: UFW on Ubuntu, firewalld on RHEL-family, and nftables as the engine underneath both

Firewall host adalah satu lapisan yang selalu Anda butuhkan. Ia mengontrol port mana di server Anda yang menerima koneksi, dan pada VPS baru, inilah yang membedakan antara box yang terkunci rapat dan yang terbuka. Di Ubuntu, firewall itu biasanya UFW. Di distro keluarga RHEL, itu adalah firewalld. Di Debian, UFW adalah frontend firewall host yang sederhana, tetapi framework firewall default dan yang direkomendasikan Debian adalah nftables.

Ketiga opsi ini terbagi jelas berdasarkan distro dan seberapa banyak kontrol yang Anda butuhkan:

ToolDefault distroAntarmukaTerbaik untukKompleksitas
UFWUbuntu, opsi sederhana yang umum di DebianCLISatu VPS, kasus yang umumRendah
firewalldRHEL, CentOS, AlmaLinux, RockyCLI (berbasis zona) + systemdServer keluarga RHEL, aturan berbasis zonaMenengah
nftablesEngine di balik keduanyaFile konfigurasi / CLIRibuan aturan, kontrol terperinci, throughput tinggiTinggi

UFW adalah alat konfigurasi firewall default Ubuntu dan pilihan sederhana yang umum di Debian, tetapi framework firewall default Debian adalah nftables. Untuk satu VPS, UFW tetap merupakan titik awal termudah ketika Anda hanya membutuhkan sekumpulan kecil aturan allow/deny. CLI-nya adalah yang paling sederhana dari ketiganya, aturan bertahan secara otomatis setelah reboot, dan beberapa perintah saja sudah mencakup semua yang dibutuhkan sebagian besar operator VPS. Batasannya ada pada aturan tingkat lanjut: logika berbasis set yang kompleks atau pencocokan terperinci terasa canggung di UFW.

firewalld adalah default di RHEL, CentOS, AlmaLinux, dan Rocky. Ia berbasis zona, terintegrasi dengan systemd, dan lebih mumpuni daripada UFW untuk mengelompokkan traffic berdasarkan interface atau tingkat kepercayaan. Kemampuan itu memakan waktu penyiapan. Jika Anda menggunakan VPS keluarga RHEL, firewalld sudah tersedia dan merupakan jalur yang paling mudah.

nftables adalah engine tingkat kernel yang berada di balik keduanya. Anda menggunakannya secara langsung ketika Anda benar-benar membutuhkan skala aturan atau kecepatannya: ribuan aturan, penyaringan berkinerja tinggi, atau kontrol yang tidak diekspos oleh frontend. Menurut perbandingan UFW vs nftables dari Better Stack, nftables berjalan 10 hingga 100 kali lebih cepat daripada iptables begitu ada ribuan aturan. Angka itu adalah nftables versus iptables, bukan UFW versus iptables. Untuk VPS biasa dengan segelintir aturan allow, Anda tidak akan merasakan perbedaan itu, dan kurva belajar yang lebih curam serta ketiadaan UI yang ramah tidak sepadan untuk dijalani. Ada juga sudut keamanan yang perlu diperhatikan: nftables pernah memiliki bug kernel nyata, termasuk CVE-2025-40206, jadi jaga kernel Anda tetap ter-patch. Itu adalah alasan untuk tetap mutakhir, bukan alasan untuk menghindari backend yang sudah Anda jalankan.

Jika Anda menginginkan panduan cara membuat aturan UFW, panduan perintah UFW Cloudzy membahas perintah-perintahnya langkah demi langkah. Bagian ini adalah tentang memilih alat, bukan menulis aturannya.

Tips pro: "iptables sudah deprecated" tidak berarti Anda punya pekerjaan yang harus dilakukan. nftables menggantikan iptables sebagai backend kernel, dan UFW serta firewalld sudah berjalan di atas nftables pada distro modern. Aturan UFW Anda yang sudah ada tidak perlu ditulis ulang; perintah frontend-nya sama, hanya engine di baliknya yang berubah. Jika Anda datang dari iptables mentah dan ingin memahami transisinya, referensi aturan iptables Cloudzy masih berlaku, karena aturan yang Anda tulis dipetakan ke backend yang baru.

Inti utama bagian ini: Gunakan jalur normal distro Anda: UFW di Ubuntu, firewalld di keluarga RHEL, dan UFW atau nftables langsung di Debian tergantung seberapa banyak kontrol yang Anda butuhkan. Gunakan nftables secara langsung hanya ketika Anda benar-benar membutuhkan skala aturan atau kecepatannya.

Distro Firewall Jaringan: Di Mana OPNsense dan pfSense Cocok (dan Mengapa Tidak di VPS Anda)

OPNsense, pfSense, dan IPFire adalah sistem operasi lengkap untuk mesin khusus atau VM yang melindungi seluruh jaringan. Ini bukan sesuatu yang Anda jalankan di VPS yang sedang Anda coba lindungi. Mereka layak diketahui karena hasil pencarian akan menyodorkannya kepada Anda, jadi inilah di mana mereka cocok dan di mana tidak.

Kapan Anda benar-benar menginginkannya: homelab atau LAN kantor kecil, pada perangkat keras khusus atau VM dengan NIC passthrough, yang berada di antara jaringan Anda dan internet. Baik Anda melindungi rak berisi mesin kantor atau lab pribadi yang Anda ekspos ke internet, inilah kategori yang menjalankan tugas itu.

Mengapa ini alat yang salah di VPS bersama: distro-distro ini mengharapkan untuk mengontrol traffic antara beberapa interface jaringan. Di VPS bersama, itu berarti NIC passthrough, yang tidak diekspos oleh sebagian besar penyedia. Tanpa itu, Anda menjalankan OS network-gateway di mesin yang tidak punya jaringan untuk dijaga. Jika Anda punya satu VPS, seluruh kategori ini adalah lapisan yang salah, dan UFW plus WAF adalah yang benar.

Tiga opsi gratis per 2026, secara singkat:

  • OPNsense (berlisensi BSD, seri CE stabil saat ini: 26.1, dengan 26.1.11 dirilis 1 Juli 2026). Sepenuhnya open source, sering diperbarui, dan tidak terbagi ke dalam model CE/Plus yang sama seperti pfSense. Itu menjadikannya pilihan network-appliance gratis yang lebih bersih bagi banyak pengguna yang menginginkan distro firewall yang sepenuhnya open-source tanpa kebingungan tingkatan fitur.
  • pfSense Community Edition (rilis CE saat ini: 2.8.1, dirilis September 2025). Tetap gratis dan open source, dengan pustaka dokumentasi dan komunitas yang lebih besar daripada OPNsense. Yang perlu diperhatikan adalah pemisahan CE/Plus: pfSense CE tetap menjadi produk komunitas gratis, sementara pfSense Plus adalah jalur komersial terpisah untuk appliance Netgate, deployment cloud, dan perangkat keras pihak ketiga. Untuk ketentuan Plus saat ini, periksa halaman pfSense Plus dari Netgate daripada mempercayai angka dari postingan perbandingan.
  • IPFire (terbaru 2.29 Core Update 202, menurut blog rilis IPFire). Jejak sumber daya yang lebih ringan daripada dua lainnya, dengan komunitas yang lebih kecil. Pilihan yang masuk akal ketika Anda menginginkan appliance yang lebih ramping dan tidak membutuhkan keluasan plugin OPNsense.

Ringkasan ini didasarkan pada dokumentasi dan catatan rilis saat ini. Uji distro firewall jaringan apa pun di VM sebelum mengandalkannya untuk jaringan nyata.

Inti utama bagian ini: Jika Anda punya jaringan untuk dilindungi dan mesin cadangan, OPNsense adalah pilihan gratis di 2026. Jika Anda punya satu VPS, seluruh kategori ini adalah lapisan yang salah.

Web Application Firewall: SafeLine vs BunkerWeb vs Haltdos

Comparing three free web application firewalls for a VPS: SafeLine at 1 GB RAM, BunkerWeb at 8 GB, and Haltdos Community at 2 GB, each with a web UI

Firewall host mengontrol port mana yang terbuka. WAF melakukan sesuatu yang berbeda: ia memeriksa traffic HTTP untuk serangan lapisan web seperti SQL injection, XSS, dan sisa OWASP Top 10, yang tidak dapat dilihat oleh firewall berbasis port. Jika Anda menjalankan aplikasi web atau API di VPS Anda, WAF adalah lapisan kedua yang saling melengkapi. Ini bukan pengganti firewall host; keduanya berada di titik yang berbeda dalam stack.

Untuk deployment VPS, mulailah dari jejak sumber daya. WAF yang sesuai dengan anggaran RAM Anda biasanya adalah yang benar-benar dapat Anda jaga tetap berjalan.

WAFLantai RAMLisensiPenerapanAntarmuka Manajemen
SafeLine1 GBlisensi GPL-3.0DockerAntarmuka Web
BunkerWeb8 GBAGPLv3Docker (reverse proxy NGINX)Antarmuka Web
Haltdos Community2 GBEdisi komunitas gratisVM, Docker, atau perangkat kerasAntarmuka Web

SafeLine adalah titik masuk paling ringan. Repositori GitHub-nya mengidentifikasinya sebagai WAF/reverse proxy self-hosted di bawah lisensi GPL-3.0. Panduan instalasi pihak ketiga mencantumkan minimumnya sebagai 1 CPU core, 1 GB RAM, dan 5 GB disk, dengan Docker 20.10.14 atau lebih baru dan Docker Compose 2.0.0 atau lebih baru. SafeLine menggunakan analisis semantik alih-alih hanya mengandalkan daftar aturan tradisional, tetapi angka tingkat deteksi yang dipublikasikannya harus diperlakukan sebagai klaim dari proyek/vendor daripada hasil benchmark independen. Dari segi sumber daya saja, SafeLine tetap menjadi pilihan untuk VPS kecil.

BunkerWeb adalah yang paling lengkap fiturnya sekaligus yang paling berat. Ia adalah WAF reverse-proxy berbasis NGINX di bawah AGPLv3, dibangun di atas ModSecurity dengan OWASP Core Rule Set. Biayanya adalah RAM. Dokumentasi resmi BunkerWeb mencantumkan 2 vCPU dan 8 GB RAM sebagai spesifikasi minimum yang direkomendasikan, dan 4 vCPU dengan 16 GB untuk produksi dengan banyak layanan.

Haltdos Community adalah opsi gratis ketiga. halaman edisi komunitasnya mencantumkan cakupan OWASP Top 10, perlindungan DDoS dan bot, rate limiting, aturan bawaan, dan GUI manajemen berbasis web. Dokumentasinya mencantumkan 2 GB RAM, 60 GB disk, dan minimal 2 vCPU sebagai persyaratan minimum, dengan dukungan deployment untuk VM, Docker, atau perangkat keras.

SafeLine, BunkerWeb, dan Haltdos semuanya tersedia sebagai deployment sekali klik di marketplace Cloudzy, dan mereka juga bisa dijalankan di VPS mana pun secara manual. Baik Anda melindungi API yang dihadapkan ke pelanggan atau layanan pribadi yang Anda ekspos ke internet, lapisannya sama; pilihannya sebagian besar tentang berapa banyak RAM yang bersedia Anda berikan.

Inti utama bagian ini: WAF adalah lapisan yang terpisah dari firewall host Anda. SafeLine adalah opsi gratis paling ringan; BunkerWeb adalah yang paling lengkap fiturnya tetapi membutuhkan server yang jauh lebih besar.

Jika Anda telah memutuskan bahwa WAF cocok untuk server Anda, langkah deployment adalah tempat marketplace dapat menghemat waktu. SafeLine dan BunkerWeb keduanya berjalan di Docker, yang biasanya berarti file Compose, konfigurasi reverse-proxy, dan debugging saat pertama kali dijalankan. Opsi marketplace Cloudzy untuk SafeLine, BunkerWeb, dan Haltdos dapat melewati langkah instalasi awal, tetapi Anda masih perlu mengonfigurasi routing upstream, DNS, TLS, penanganan false-positive, dan aturan firewall host. Lapisan firewall host itu sendiri ringan dan biasanya tersedia dari paket distro; pastikan ia terpasang, terkonfigurasi, dan aktif sebelum mengekspos layanan. Sesuaikan ukuran paket dengan WAF: 1 GB sudah cukup untuk SafeLine, tetapi batas bawah 8 GB BunkerWeb berarti instance yang lebih besar. Anda dapat men-deploy WAF di sebuah Cloudzy Linux VPS dan menjalankan firewall host Anda di box yang sama.

Satu peringatan Docker: jika aplikasi atau WAF Anda berjalan di Docker, jangan berasumsi bahwa UFW sendirian mengontrol setiap port kontainer yang dipublikasikan. Docker membuat aturan firewall-nya sendiri secara default, jadi ikat kontainer backend ke localhost atau jaringan Docker privat jika memungkinkan, dan hanya ekspos port yang menghadap WAF yang benar-benar ingin Anda publikasikan.

Apakah Anda Membutuhkan Firewall Host dan WAF Sekaligus?

Ya, jika Anda menjalankan aplikasi web publik, keduanya melindungi lapisan yang berbeda. Firewall host (UFW atau firewalld) mengontrol port mana yang terbuka dan merupakan dasar bagi setiap VPS. WAF memeriksa traffic HTTP yang mengalir melalui port-port terbuka itu untuk serangan lapisan aplikasi. WAF tidak menggantikan firewall host; ia berada di belakangnya.

Firewall host tidak bisa ditawar. Setiap VPS membutuhkannya, aplikasi web atau bukan, karena itulah yang menghentikan seluruh internet dari menjangkau layanan yang tidak pernah Anda maksudkan untuk diekspos. WAF bersifat kondisional. Tambahkan ketika Anda melayani traffic HTTP atau HTTPS yang bisa diserang di lapisan aplikasi: API publik, CMS, apa pun yang menerima input pengguna melalui web. Situs statis atau layanan internal saja di balik VPN mungkin tidak membutuhkan WAF sama sekali; dalam kasus itu firewall host saja adalah jawaban yang tepat, dan menambahkan WAF adalah beban yang tidak Anda butuhkan. Sesuaikan lapisan dengan apa yang benar-benar Anda jalankan, bukan dengan sebuah checklist.

Inti utama bagian ini: Firewall host adalah dasar bagi setiap VPS. Tambahkan WAF ketika Anda mengekspos aplikasi web ke internet.

Pertanyaan yang Sering Diajukan

Apakah iptables Sudah Deprecated di Linux?

Secara praktis, ya. nftables menggantikan iptables sebagai backend penyaringan paket kernel pada Linux modern. Tetapi ini adalah perubahan backend, bukan seruan untuk bertindak. UFW dan firewalld sudah berjalan di atas nftables pada distro saat ini, dan aturan UFW Anda yang sudah ada tidak perlu ditulis ulang. Perintah frontend-nya tidak berubah; hanya engine di baliknya yang berpindah.

Apakah pfSense Masih Gratis di 2026?

Ya. pfSense Community Edition, saat ini 2.8.1, gratis dan open source. Yang perlu diperhatikan adalah pemisahan CE/Plus: pfSense CE tetap menjadi produk komunitas gratis, sementara pfSense Plus adalah jalur komersial terpisah untuk appliance Netgate, deployment cloud, dan perangkat keras pihak ketiga. Untuk ketentuan Plus saat ini dan biaya langganan apa pun, periksa halaman pfSense Plus dari Netgate daripada mengandalkan angka dari perbandingan pihak ketiga.

Bisakah Saya Menjalankan pfSense atau OPNsense di VPS?

Secara teknis mungkin, tetapi secara arsitektur tidak sesuai di VPS bersama. Ini adalah sistem operasi network-gateway yang mengharapkan untuk mengontrol traffic antara beberapa interface jaringan, yang membutuhkan NIC passthrough yang tidak diekspos oleh sebagian besar penyedia VPS. Di satu VPS, yang sebenarnya Anda inginkan adalah firewall host (UFW atau firewalld) dan, untuk aplikasi web, sebuah WAF.

Apakah Saya Membutuhkan WAF jika Saya Sudah Punya Firewall di Server Linux Saya?

Keduanya melindungi lapisan yang berbeda, jadi tergantung pada apa yang Anda jalankan. Firewall host mengontrol port mana yang terbuka; WAF memeriksa traffic HTTP yang mengalir melaluinya untuk serangan lapisan web seperti SQL injection dan XSS. Jika Anda melayani aplikasi web atau API publik, tambahkan WAF di atas firewall host. Jika Anda hanya menjalankan situs statis atau layanan internal, firewall host saja sudah cukup.

Apa WAF Gratis Terbaik untuk VPS Linux Kecil?

SafeLine adalah opsi gratis paling ringan, dengan minimum 1 GB RAM yang berjalan di Docker, yang cocok untuk VPS kecil. BunkerWeb lebih lengkap fiturnya tetapi membutuhkan 8 GB RAM, jadi ini bukan deployment untuk server kecil. Haltdos Community adalah opsi gratis ketiga dengan UI web; periksa dokumentasinya untuk persyaratan sumber daya saat ini sebelum menentukan ukuran server Anda.

Bagikan

Lebih banyak dari blog

Lanjutkan membaca.

Siap deploy? Mulai $2,48/bln.

Cloud independen, sejak 2008. AMD EPYC, NVMe, 40 Gbps. Garansi uang kembali 14 hari.