Ga naar hoofdinhoud
50% korting alle plannen, beperkte tijd. Vanaf $2.48/mo
14 min left
Beveiliging en netwerk

Beste gratis firewalls voor een Linux-VPS

C Door Chike 14 min leestijd
Diagram showing the best free firewall layers for a Linux VPS: a host firewall controlling ports and a WAF inspecting HTTP traffic

De beste gratis firewall voor een Linux-VPS is niet één tool. Het is een hostfirewall (de laag die elke server nodig heeft) en, als je een webapp draait, een web application firewall daarbovenop. Deze gids behandelt beide, noemt de sterkste gratis of open-source firewallopties voor elke laag, en geeft aan wat elke optie je kost aan RAM en installatie-inspanning. De gids is gericht op beheerders van een Linux-VPS. Het is geen overzicht voor Windows.

De korte versie

  • "Beste gratis firewall" betekent vier verschillende producten: Linux-hostfirewalls, netwerkfirewall-distributies, web application firewalls (WAF's) en Windows-consumententools. Alleen de eerste en de derde horen thuis op een VPS.
  • Gebruik op de hostlaag de eenvoudigste tool die bij je distributie past: UFW op Ubuntu, firewalld op de RHEL-familie, en op Debian ofwel UFW ofwel rechtstreeks nftables, afhankelijk van hoeveel controle je nodig hebt. Moderne frontendtools draaien doorgaans bovenop nftables, maar nftables zelf is het standaard en aanbevolen framework op Debian.
  • Een WAF is een aparte, aanvullende laag voor webapps. Het is geen vervanging voor de hostfirewall.
  • SafeLine is de lichtste gratis WAF (1 GB RAM). BunkerWeb heeft de meeste functies maar wil 8 GB. Haltdos Community is een derde gratis optie met een web-UI.

Wat deze gids overslaat

Een paar firewallcategorieën die in andere lijsten met "beste gratis firewall" opduiken, zijn hier niet van toepassing, en ze één keer benoemen voorkomt dat je achter de verkeerde tool aan gaat.

  • Windows- en consument-endpointfirewalls (ZoneAlarm, Comodo, TinyWall). Verkeerd besturingssysteem, verkeerde machine.
  • Betaalde commerciële en enterprisefirewalls (Cisco ASA, Palo Alto, Fortinet). Vallen buiten het "gratis"-bestek.
  • Cloud-WAF-SaaS (Cloudflare, Sucuri). Geldig, maar DNS-/proxygebaseerd en buiten het bestek van deze zelfgehoste VPS. Cloudflare biedt wel een gratis basis-WAF-regelset, terwijl uitgebreidere managed-rules en OWASP-regelsetdekking afhangen van het abonnement.
  • pfSense of OPNsense draaien als gateway op een gedeelde VPS. Architectonisch ongeschikt zonder NIC-passthrough. Uitgelegd in het gedeelte over netwerkdistributies.

Wat "beste gratis firewall" eigenlijk betekent (vier categorieën)

The four categories the term best free firewall covers: Linux host firewalls, network firewall distros, web application firewalls, and Windows endpoint tools

De reden dat de zoekterm je in cirkels laat ronddraaien, is dat hij vier producten omvat die vier verschillende problemen op vier verschillende machines oplossen. Plaats jezelf eerst in een categorie en kies daarna een tool.

  1. Linux-host-/VPS-firewalls: software die op dezelfde machine draait als je diensten en bepaalt welke poorten bereikbaar zijn. UFW, firewalld en nftables. Dit is de laag die elke VPS nodig heeft.
  2. Netwerkfirewall-distributies: volledige besturingssystemen die zijn opgebouwd rond een firewall-engine en op een dedicated machine of VM worden ingezet om een heel netwerk te beschermen. OPNsense, pfSense, IPFire. Deze zijn voor een homelab of een kantoor-LAN, niet voor de VPS die je probeert te beschermen.
  3. Web application firewalls (WAF's): reverse proxies die HTTP-verkeer inspecteren op aanvallen op de weblaag, zoals SQL-injectie, XSS en de rest van de OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Deze zijn voor een webapp of API die op je VPS draait.
  4. Consument-/Windows-endpointfirewalls: desktopsoftware die per applicatie de internettoegang op Windows regelt. Hier alleen genoemd om ze uit te sluiten.

Voor een VPS zijn categorie 1 en 3 degene die je draait. Categorie 2 draait op een andere machine. Categorie 4 draait op een ander besturingssysteem. De juiste gratis of open-source firewalloptie voor jouw situatie is de tool in categorie 1, en mogelijk categorie 3, die past bij je distributie en je verkeer.

Kort oordeel: Voor de meeste VPS-beheerders: gebruik UFW voor de host en voeg SafeLine toe als je een webapp draait en een WAF wilt zonder een server van 8 GB op te tuigen.

Belangrijkste conclusie van deze sectie: Op een VPS kies je tussen hostfirewalls en WAF's. Netwerkdistributies en consumententools zijn andere producten voor andere machines.

Hostfirewalls: UFW vs nftables vs firewalld

Choosing a Linux host firewall by distro: UFW on Ubuntu, firewalld on RHEL-family, and nftables as the engine underneath both

De hostfirewall is de ene laag die je altijd nodig hebt. Hij bepaalt welke poorten op je server verbindingen accepteren, en op een verse VPS is hij het verschil tussen een dichtgetimmerde machine en een open machine. Op Ubuntu is die firewall meestal UFW. Op distributies uit de RHEL-familie is het firewalld. Op Debian is UFW een eenvoudige hostfirewall-frontend, maar het standaard en aanbevolen firewallframework van Debian is nftables.

De drie opties splitsen zich netjes op naar distributie en naar hoeveel controle je nodig hebt:

ToolStandaard van de distributieInterfaceBeste voorComplexiteit
UFWUbuntu, gangbare eenvoudige optie op DebianCLIEén enkele VPS, het gangbare gevalLaag
firewalldRHEL, CentOS, AlmaLinux, RockyCLI (zonegebaseerd) + systemdServers uit de RHEL-familie, zonegebaseerde regelsGemiddeld
nftablesDe engine onder beideConfiguratiebestand / CLIDuizenden regels, gedetailleerde controle, hoge doorvoerHoog

UFW is de standaard firewallconfiguratietool van Ubuntu en een gangbare eenvoudige keuze op Debian, maar het standaard firewallframework van Debian is nftables. Voor één VPS is UFW nog steeds het makkelijkste startpunt wanneer je alleen een kleine set allow/deny-regels nodig hebt. De CLI is de eenvoudigste van de drie, regels blijven automatisch behouden na een herstart, en een paar commando's dekken alles wat de meeste VPS-beheerders nodig hebben. De beperking zit in geavanceerde regels: complexe op sets gebaseerde logica of gedetailleerde matching is omslachtig in UFW.

firewalld is de standaard op RHEL, CentOS, AlmaLinux en Rocky. Het is zonegebaseerd, integreert met systemd en is beter geschikt dan UFW om verkeer te segmenteren op interface of vertrouwensniveau. Die kracht kost installatietijd. Als je op een VPS uit de RHEL-familie zit, staat firewalld er al en is het de weg van de minste weerstand.

nftables is de engine op kernelniveau die onder beide zit. Je gebruikt het rechtstreeks wanneer je echt de regelschaal of snelheid ervan nodig hebt: duizenden regels, hoogperformante filtering, of controle die een frontend niet blootstelt. Volgens de UFW-vs-nftables-vergelijking van Better Stackloopt nftables 10 tot 100 keer sneller dan iptables zodra er duizenden regels aanwezig zijn. Dat cijfer geldt voor nftables versus iptables, niet UFW versus iptables. Voor een typische VPS met een handvol allow-regels merk je dat verschil niet, en de steilere leercurve en het ontbreken van een gebruiksvriendelijke UI zijn de moeite niet waard. Er is ook een beveiligingskant om in de gaten te houden: nftables heeft echte kernelbugs gehad, waaronder CVE-2025-40206, dus houd je kernel gepatcht. Dat is een reden om bij te blijven, niet een reden om de backend te vermijden die je al draait.

Als je de handleiding voor UFW-regels wilt, dan behandelt de Cloudzy UFW-commandogids de commando's stap voor stap. Dit gedeelte gaat over het kiezen van de tool, niet over het schrijven van de regels.

Pro-tip: "iptables is verouderd" betekent niet dat je werk te doen hebt. nftables heeft iptables vervangen als kernelbackend, en UFW en firewalld draaien op moderne distributies al bovenop nftables. Je bestaande UFW-regels hoeven niet te worden herschreven; het frontendcommando is hetzelfde, alleen de engine eronder is veranderd. Als je van kale iptables komt en de overgang wilt begrijpen, is de Cloudzy iptables-regelsreferentie nog steeds van toepassing, aangezien de regels die je schreef aansluiten op de nieuwe backend.

Belangrijkste conclusie van deze sectie: Gebruik het gebruikelijke pad van je distributie: UFW op Ubuntu, firewalld op de RHEL-familie, en op Debian UFW of rechtstreeks nftables, afhankelijk van hoeveel controle je nodig hebt. Grijp alleen rechtstreeks naar nftables wanneer je echt de regelschaal of snelheid ervan nodig hebt.

Netwerkfirewall-distributies: waar OPNsense en pfSense passen (en waarom niet op je VPS)

OPNsense, pfSense en IPFire zijn volledige besturingssystemen voor een dedicated machine of VM die een heel netwerk beschermt. Het zijn niet iets wat je draait op de VPS die je probeert te beschermen. Ze zijn het waard om te kennen, omdat de zoekresultaten ze onder je neus zullen duwen, dus hier is waar ze wel en niet passen.

Wanneer je er echt een zou willen: een homelab of een klein kantoor-LAN, op dedicated hardware of een VM met NIC-passthrough, tussen je netwerk en het internet in. Of je nu een rek met kantoormachines beschermt of een persoonlijk lab dat je aan het internet blootstelt, dit is de categorie die de klus klaart.

Waarom het de verkeerde tool is op een gedeelde VPS: deze distributies verwachten het verkeer tussen meerdere netwerkinterfaces te beheren. Op een gedeelde VPS betekent dat NIC-passthrough, wat de meeste providers niet beschikbaar stellen. Zonder dat draai je een netwerkgateway-OS op een machine die geen netwerk heeft om te bewaken. Als je één enkele VPS hebt, is deze hele categorie de verkeerde laag, en UFW plus een WAF de juiste.

De drie gratis opties per 2026, in het kort:

  • OPNsense (BSD-gelicentieerd, huidige stabiele CE-serie: 26.1, met 26.1.11 uitgebracht op 1 juli 2026). Volledig open source, vaak bijgewerkt, en niet opgesplitst in hetzelfde CE/Plus-model als pfSense. Dat maakt het de zuiverdere gratis netwerkappliance-keuze voor veel gebruikers die een volledig open-source firewalldistributie willen zonder verwarring over functieniveaus.
  • pfSense Community Edition (huidige CE-release: 2.8.1, uitgebracht in september 2025). Nog steeds gratis en open source, met een grotere documentatie- en communitybibliotheek dan OPNsense. De adder onder het gras is de CE/Plus-splitsing: pfSense CE blijft het gratis communityproduct, terwijl pfSense Plus het aparte commerciële pad is voor Netgate-appliances, cloud-implementaties en hardware van derden. Raadpleeg voor de huidige Plus-voorwaarden de pfSense Plus-pagina van Netgate in plaats van te vertrouwen op een getal uit een vergelijkingsartikel.
  • IPFire (nieuwste 2.29 Core Update 202, volgens de IPFire-releaseblog). Een lichtere voetafdruk dan de andere twee, met een kleinere community. Een redelijke keuze wanneer je een slankere appliance wilt en de pluginbreedte van OPNsense niet nodig hebt.

Deze samenvattingen zijn gebaseerd op de huidige documentatie en releasenotes. Test elke netwerkfirewall-distributie in een VM voordat je erop vertrouwt voor een echt netwerk.

Belangrijkste conclusie van deze sectie: Als je een netwerk hebt om te beschermen en een reservemachine, is OPNsense de gratis keuze in 2026. Als je één enkele VPS hebt, is deze hele categorie de verkeerde laag.

Web application firewalls: SafeLine vs BunkerWeb vs Haltdos

Comparing three free web application firewalls for a VPS: SafeLine at 1 GB RAM, BunkerWeb at 8 GB, and Haltdos Community at 2 GB, each with a web UI

Een hostfirewall bepaalt welke poorten open zijn. Een WAF doet iets anders: hij inspecteert HTTP-verkeer op aanvallen op de weblaag, zoals SQL-injectie, XSS en de rest van de OWASP Top 10, die een poortgebaseerde firewall niet kan zien. Als je een webapp of een API op je VPS draait, is een WAF een tweede, aanvullende laag. Het is geen vervanging voor de hostfirewall; de twee zitten op verschillende punten in de stack.

Voor VPS-implementaties begin je bij de resourcevoetafdruk. De WAF die binnen je RAM-budget past, is meestal degene die je daadwerkelijk draaiende kunt houden.

WAFRAM-ondergrensLicentieInzetBeheer-UI
SafeLine1 GBGPL-3.0-licentieDockerWebinterface
BunkerWeb8 GBAGPLv3Docker (NGINX reverse proxy)Webinterface
Haltdos Community2 GBGratis community-editieVM, Docker of hardwareWebinterface

SafeLine is het lichtste startpunt. De GitHub-repository beschrijft het als een zelfgehoste WAF/reverse proxy onder een GPL-3.0-licentie. Installatiedekking van derden geeft als minimum 1 CPU-core, 1 GB RAM en 5 GB schijfruimte aan, met Docker 20.10.14 of nieuwer en Docker Compose 2.0.0 of nieuwer. SafeLine gebruikt semantische analyse in plaats van alleen te vertrouwen op een traditionele regellijst, maar de gepubliceerde detectiepercentages moeten worden behandeld als claims van het project/de leverancier en niet als onafhankelijke benchmarkresultaten. Puur op basis van resources is SafeLine nog steeds de keuze voor een kleine VPS.

BunkerWeb heeft de meeste functies en is de zwaarste. Het is een op NGINX gebaseerde reverse-proxy-WAF onder AGPLv3, gebouwd op ModSecurity met de OWASP Core Rule Set. De prijs is RAM. De eigen documentatie van BunkerWeb vermeldt 2 vCPU's en 8 GB RAM als de minimaal aanbevolen specificatie, en 4 vCPU's met 16 GB voor productie met veel diensten.

Haltdos Community is de derde gratis optie. De pagina van de community-editie vermeldt dekking van de OWASP Top 10, DDoS- en botbescherming, rate limiting, ingebouwde regels en een webgebaseerde beheer-GUI. De documentatie geeft 2 GB RAM, 60 GB schijfruimte en ten minste 2 vCPU aan als minimumvereisten, met implementatieondersteuning voor VM, Docker of hardware.

SafeLine, BunkerWeb, en Haltdos zijn allemaal beschikbaar als one-click-implementaties in de Cloudzy-marketplace, en ze draaien ook handmatig op elke VPS. Of je nu een klantgerichte API beschermt of een persoonlijke dienst die je aan het internet blootstelt, de laag is dezelfde; de keuze draait vooral om hoeveel RAM je bereid bent eraan te geven.

Belangrijkste conclusie van deze sectie: Een WAF is een aparte laag naast je hostfirewall. SafeLine is de lichtste gratis optie; BunkerWeb heeft de meeste functies maar heeft een veel grotere server nodig.

Als je hebt besloten dat een WAF op je server thuishoort, is de implementatiestap waar de marketplace tijd kan besparen. SafeLine en BunkerWeb draaien beide in Docker, wat meestal een Compose-bestand, reverse-proxyconfiguratie en debuggen bij de eerste keer starten betekent. De marketplace-opties van Cloudzy voor SafeLine, BunkerWeb en Haltdos kunnen de eerste installatiestap overslaan, maar je moet nog steeds upstream-routing, DNS, TLS, de afhandeling van false positives en hostfirewallregels configureren. De hostfirewall-laag zelf is licht en meestal beschikbaar uit de distributiepakketten; zorg dat hij is geïnstalleerd, geconfigureerd en ingeschakeld voordat je diensten blootstelt. Stem het abonnement af op de WAF: 1 GB is prima voor SafeLine, maar de 8 GB-ondergrens van BunkerWeb betekent een grotere instance. Je kunt een WAF implementeren op een Cloudzy Linux VPS en je hostfirewall op dezelfde machine draaien.

Eén kanttekening bij Docker: als je app of WAF in Docker draait, ga er dan niet van uit dat UFW alleen elke gepubliceerde containerpoort beheert. Docker maakt zijn eigen firewallregels aan standaard, dus koppel backendcontainers waar mogelijk aan localhost of privé-Docker-netwerken, en stel alleen de WAF-gerichte poorten bloot die je daadwerkelijk wilt publiceren.

Heb je zowel een hostfirewall als een WAF nodig?

Ja, als je een publieke webapp draait, beschermen ze verschillende lagen. De hostfirewall (UFW of firewalld) bepaalt welke poorten open zijn en is de basis voor elke VPS. Een WAF inspecteert het HTTP-verkeer dat door die open poorten stroomt op aanvallen op de applicatielaag. De WAF vervangt de hostfirewall niet; hij zit erachter.

De hostfirewall is niet onderhandelbaar. Elke VPS heeft hem nodig, webapp of niet, want hij is wat de rest van het internet ervan weerhoudt diensten te bereiken die je nooit had willen blootstellen. De WAF is voorwaardelijk. Voeg hem toe wanneer je HTTP- of HTTPS-verkeer bedient dat op de applicatielaag kan worden aangevallen: een publieke API, een CMS, alles wat gebruikersinvoer via het web accepteert. Een statische site of een uitsluitend interne dienst achter een VPN heeft misschien helemaal geen WAF nodig; in dat geval is de hostfirewall alleen het juiste antwoord, en is een WAF toevoegen overhead die je niet nodig hebt. Stem de lagen af op wat je daadwerkelijk draait, niet op een checklist.

Belangrijkste conclusie van deze sectie: Een hostfirewall is de basis voor elke VPS. Voeg een WAF toe wanneer je een webapp aan het internet blootstelt.

Veelgestelde vragen

Is iptables verouderd op Linux?

In de praktijk wel. nftables heeft iptables vervangen als de kernelbackend voor pakketfiltering op modern Linux. Maar dit is een backendverandering, geen oproep tot actie. UFW en firewalld draaien op huidige distributies al bovenop nftables, en je bestaande UFW-regels hoeven niet te worden herschreven. De frontendcommando's zijn ongewijzigd; alleen de engine eronder is verplaatst.

Is pfSense in 2026 nog steeds gratis?

Ja. pfSense Community Edition, momenteel 2.8.1, is gratis en open source. De adder onder het gras is de CE/Plus-splitsing: pfSense CE blijft het gratis communityproduct, terwijl pfSense Plus het aparte commerciële pad is voor Netgate-appliances, cloud-implementaties en hardware van derden. Raadpleeg voor de huidige Plus-voorwaarden en eventuele abonnementskosten de pfSense Plus-pagina van Netgate in plaats van te vertrouwen op een cijfer uit een vergelijking van derden.

Kan ik pfSense of OPNsense op een VPS draaien?

Technisch mogelijk, maar architectonisch ongeschikt op een gedeelde VPS. Dit zijn netwerkgateway-besturingssystemen die verwachten het verkeer tussen meerdere netwerkinterfaces te beheren, waarvoor NIC-passthrough nodig is die de meeste VPS-providers niet beschikbaar stellen. Op één enkele VPS is wat je eigenlijk wilt een hostfirewall (UFW of firewalld) en, voor webapps, een WAF.

Heb ik een WAF nodig als ik al een firewall op mijn Linux-server heb?

Ze beschermen verschillende lagen, dus het hangt af van wat je draait. Een hostfirewall bepaalt welke poorten open zijn; een WAF inspecteert het HTTP-verkeer dat er doorheen stroomt op aanvallen op de weblaag, zoals SQL-injectie en XSS. Als je een publieke webapp of API bedient, voeg dan een WAF toe bovenop de hostfirewall. Als je alleen een statische site of een interne dienst draait, is de hostfirewall alleen voldoende.

Wat is de beste gratis WAF voor een kleine Linux-VPS?

SafeLine is de lichtste gratis optie, met een minimum van 1 GB RAM draaiend in Docker, wat past bij een kleine VPS. BunkerWeb heeft meer functies maar heeft 8 GB RAM nodig, dus het is geen implementatie voor een kleine server. Haltdos Community is een derde gratis optie met een web-UI; raadpleeg de documentatie voor de huidige resourcevereisten voordat je de omvang van je server bepaalt.

Delen

Meer van de blog

Blijf lezen.

Klaar om uit te rollen? Vanaf $2,48/mnd.

Onafhankelijke cloud, sinds 2008. AMD EPYC, NVMe, 40 Gbps. 14 dagen niet-goed-geld-terug.