Najlepszy darmowy firewall dla Linux VPS to nie jedno narzędzie. To firewall hosta (warstwa, której potrzebuje każdy serwer) oraz, jeśli uruchamiasz aplikację webową, web application firewall na wierzchu. Ten przewodnik obejmuje obie warstwy, wskazuje najmocniejsze darmowe lub open source opcje firewalla dla każdej z nich i mówi, ile każda kosztuje w RAM oraz w nakładzie pracy przy konfiguracji. Jest przeznaczony dla operatorów Linux VPS. To nie jest zestawienie rozwiązań dla Windows.
Krótka wersja
- "Najlepszy darmowy firewall" oznacza cztery różne produkty: firewalle hosta dla Linuksa, dystrybucje firewalli sieciowych, web application firewalle (WAF) oraz konsumenckie narzędzia dla Windows. Tylko pierwszy i trzeci pasują do VPS.
- Na warstwie hosta użyj najprostszego narzędzia pasującego do Twojej dystrybucji: UFW na Ubuntu, firewalld w rodzinie RHEL oraz UFW lub bezpośrednio nftables na Debianie, w zależności od tego, ile kontroli potrzebujesz. Nowoczesne narzędzia frontendowe zwykle działają na nftables, ale samo nftables jest domyślnym i zalecanym frameworkiem na Debianie.
- WAF to osobna, uzupełniająca warstwa dla aplikacji webowych. Nie zastępuje firewalla hosta.
- SafeLine to najlżejszy darmowy WAF (1 GB RAM). BunkerWeb ma najwięcej funkcji, ale wymaga 8 GB. Haltdos Community to trzecia darmowa opcja z interfejsem webowym.
Czego ten przewodnik nie obejmuje
Kilka kategorii firewalli, które pojawiają się w innych zestawieniach "najlepszych darmowych firewalli", nie ma tu zastosowania, a wymienienie ich raz oszczędzi Ci gonienia za niewłaściwym narzędziem.
- Firewalle dla Windows i konsumenckie firewalle endpointów (ZoneAlarm, Comodo, TinyWall). Niewłaściwy system operacyjny, niewłaściwa maszyna.
- Płatne komercyjne i firmowe firewalle (Cisco ASA, Palo Alto, Fortinet). Poza zakresem "darmowych".
- Chmurowe WAF-y w modelu SaaS (Cloudflare, Sucuri). Sensowne, ale oparte na DNS/proxy i poza zakresem tego samodzielnie hostowanego VPS. Cloudflare oferuje darmowy podstawowy zestaw reguł WAF, natomiast pełniejsze reguły zarządzane i pokrycie zestawem reguł OWASP zależą od planu.
- Uruchamianie pfSense lub OPNsense jako bramy na współdzielonym VPS. Architektonicznie nieodpowiednie bez NIC passthrough. Wyjaśnione w sekcji o dystrybucjach sieciowych.
Co tak naprawdę oznacza "najlepszy darmowy firewall" (cztery kategorie)
Powód, dla którego to hasło wyszukiwania wodzi Cię w kółko, jest taki, że obejmuje cztery produkty rozwiązujące cztery różne problemy na czterech różnych maszynach. Najpierw przypisz siebie do kategorii, a dopiero potem wybierz narzędzie.
- Firewalle hosta/VPS dla Linuksa: oprogramowanie działające na tej samej maszynie co Twoje usługi, kontrolujące, które porty są osiągalne. UFW, firewalld i nftables. To warstwa, której potrzebuje każdy VPS.
- Dystrybucje firewalli sieciowych: pełne systemy operacyjne zbudowane wokół silnika firewalla, wdrażane na dedykowanej maszynie lub VM w celu ochrony całej sieci. OPNsense, pfSense, IPFire. Są przeznaczone do homelabu lub biurowej sieci LAN, a nie do VPS, który próbujesz chronić.
- Web application firewalle (WAF): reverse proxy, które analizują ruch HTTP pod kątem ataków na warstwę webową, takich jak SQL injection, XSS i reszta OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Są przeznaczone dla aplikacji webowej lub API działającego na Twoim VPS.
- Konsumenckie firewalle endpointów dla Windows: oprogramowanie desktopowe kontrolujące dostęp do internetu dla poszczególnych aplikacji w Windows. Wymienione tutaj tylko po to, aby je wykluczyć.
W przypadku VPS uruchamiasz kategorie 1 i 3. Kategoria 2 działa na innej maszynie. Kategoria 4 działa na innym systemie operacyjnym. Właściwą darmową lub open source opcją firewalla dla Twojej sytuacji jest to narzędzie z kategorii 1, i ewentualnie kategorii 3, które pasuje do Twojej dystrybucji i Twojego ruchu.
Krótki werdykt: Dla większości operatorów VPS użyj UFW dla hosta i dodaj SafeLine, jeśli uruchamiasz aplikację webową i chcesz mieć WAF bez stawiania serwera z 8 GB.
Kluczowy wniosek z sekcji: Na VPS wybierasz spośród firewalli hosta i WAF-ów. Dystrybucje sieciowe i narzędzia konsumenckie to inne produkty dla innych maszyn.
Firewalle hosta: UFW vs nftables vs firewalld
Firewall hosta to jedyna warstwa, której zawsze potrzebujesz. Kontroluje, które porty na Twoim serwerze przyjmują połączenia, a na świeżym VPS to różnica między zablokowaną a otwartą maszyną. Na Ubuntu tym firewallem jest zwykle UFW. W dystrybucjach z rodziny RHEL jest to firewalld. Na Debianie UFW to prosty frontend firewalla hosta, ale domyślnym i zalecanym frameworkiem firewalla na Debianie jest nftables.
Te trzy opcje dzielą się wyraźnie według dystrybucji i tego, ile kontroli potrzebujesz:
| Narzędzie | Domyślne dla dystrybucji | Interfejs | Najlepszy dla | Złożoność |
|---|---|---|---|---|
| UFW | Ubuntu, popularna prosta opcja na Debianie | CLI | Pojedynczy VPS, typowy przypadek | Niskie |
| firewalld | RHEL, CentOS, AlmaLinux, Rocky | CLI (oparte na strefach) + systemd | Serwery z rodziny RHEL, reguły oparte na strefach | Średnie |
| nftables | Silnik pod obydwoma | Plik konfiguracyjny / CLI | Tysiące reguł, szczegółowa kontrola, wysoka przepustowość | Wysoki |
UFW to domyślne narzędzie konfiguracji firewalla w Ubuntu i częsty prosty wybór na Debianie, ale domyślnym frameworkiem firewalla na Debianie jest nftables. Dla jednego VPS UFW nadal jest najłatwiejszym punktem startu, gdy potrzebujesz tylko niewielkiego zestawu reguł zezwól/odrzuć. To CLI jest najprostsze z trzech, reguły utrzymują się automatycznie po restartach, a kilka poleceń pokrywa wszystko, czego potrzebuje większość operatorów VPS. Jego ograniczeniem są zaawansowane reguły: złożona logika oparta na zbiorach lub szczegółowe dopasowywanie jest w UFW niewygodne.
firewalld jest domyślny na RHEL, CentOS, AlmaLinux i Rocky. Jest oparty na strefach, integruje się z systemd i jest bardziej wszechstronny niż UFW w segmentowaniu ruchu według interfejsu lub poziomu zaufania. Ta moc kosztuje czas konfiguracji. Jeśli jesteś na VPS z rodziny RHEL, firewalld już tam jest i stanowi ścieżkę najmniejszego oporu.
nftables to silnik na poziomie jądra, który leży pod obydwoma. Używasz go bezpośrednio, gdy naprawdę potrzebujesz jego skali reguł lub szybkości: tysiące reguł, wysokowydajne filtrowanie lub kontrola, której frontend nie udostępnia. Według porównania UFW vs nftables od Better Stack, nftables działa od 10 do 100 razy szybciej niż iptables, gdy pojawiają się tysiące reguł. Ta liczba dotyczy nftables kontra iptables, a nie UFW kontra iptables. Przy typowym VPS z garstką reguł zezwalających nie odczujesz tej różnicy, a stromsza krzywa uczenia i brak przyjaznego UI nie są tego warte. Jest też aspekt bezpieczeństwa, o którym warto pamiętać: nftables miało realne błędy w jądrze, w tym CVE-2025-40206, więc utrzymuj jądro załatane. To powód, aby być na bieżąco, a nie powód, aby unikać backendu, którego już używasz.
Jeśli chcesz instrukcji krok po kroku dla reguł UFW, przewodnik po poleceniach UFW od Cloudzy omawia polecenia krok po kroku. Ta sekcja dotyczy wyboru narzędzia, a nie pisania reguł.
Wskazówka: "iptables jest przestarzały" nie oznacza, że masz coś do zrobienia. nftables zastąpił iptables jako backend jądra, a UFW i firewalld w nowoczesnych dystrybucjach już działają na nftables. Twoje istniejące reguły UFW nie wymagają przepisania; polecenie frontendu jest takie samo, zmienił się tylko silnik pod spodem. Jeśli przychodzisz od surowego iptables i chcesz zrozumieć to przejście, referencja reguł iptables od Cloudzy nadal ma zastosowanie, ponieważ napisane przez Ciebie reguły mapują się na nowy backend.
Kluczowy wniosek z sekcji: Trzymaj się standardowej ścieżki swojej dystrybucji: UFW na Ubuntu, firewalld w rodzinie RHEL oraz UFW lub bezpośrednio nftables na Debianie, w zależności od tego, ile kontroli potrzebujesz. Sięgaj po nftables bezpośrednio tylko wtedy, gdy naprawdę potrzebujesz jego skali reguł lub szybkości.
Dystrybucje firewalli sieciowych: gdzie pasują OPNsense i pfSense (i dlaczego nie na Twoim VPS)
OPNsense, pfSense i IPFire to pełne systemy operacyjne dla dedykowanej maszyny lub VM, które chronią całą sieć. Nie są czymś, co uruchamiasz na VPS, który próbujesz chronić. Warto je znać, ponieważ wyniki wyszukiwania i tak Ci je pokażą, więc oto gdzie pasują, a gdzie nie.
Kiedy naprawdę chciałbyś takiego rozwiązania: homelab lub sieć LAN małego biura, na dedykowanym sprzęcie lub VM z NIC passthrough, umieszczone między Twoją siecią a internetem. Niezależnie od tego, czy chronisz szafę z maszynami biurowymi, czy osobiste laboratorium wystawione do internetu, to jest kategoria, która wykonuje to zadanie.
Dlaczego to niewłaściwe narzędzie na współdzielonym VPS: te dystrybucje oczekują kontroli ruchu między wieloma interfejsami sieciowymi. Na współdzielonym VPS oznacza to NIC passthrough, którego większość dostawców nie udostępnia. Bez niego uruchamiasz system operacyjny bramy sieciowej na maszynie, która nie ma sieci do bramkowania. Jeśli masz pojedynczy VPS, cała ta kategoria to niewłaściwa warstwa, a właściwą jest UFW plus WAF.
Trzy darmowe opcje na rok 2026, w skrócie:
- OPNsense (na licencji BSD, aktualna stabilna seria CE: 26.1, z 26.1.11 wydanym 1 lipca 2026). W pełni open source, często aktualizowany i nie podzielony na taki sam model CE/Plus jak pfSense. To czyni go czystszym darmowym wyborem urządzenia sieciowego dla wielu użytkowników, którzy chcą w pełni open source dystrybucji firewalla bez zamieszania z poziomami funkcji.
- pfSense Community Edition (aktualne wydanie CE: 2.8.1, wydane we wrześniu 2025). Nadal darmowe i open source, z obszerniejszą dokumentacją i biblioteką społeczności niż OPNsense. Haczykiem jest podział CE/Plus: pfSense CE pozostaje darmowym produktem społecznościowym, natomiast pfSense Plus to osobna ścieżka komercyjna dla urządzeń Netgate, wdrożeń chmurowych i sprzętu innych producentów. Aby poznać aktualne warunki Plus, sprawdź stronę pfSense Plus firmy Netgate zamiast ufać liczbie z posta porównawczego.
- IPFire (najnowsza 2.29 Core Update 202, według bloga z wydaniami IPFire). Lżejszy ślad niż pozostałe dwa, z mniejszą społecznością. Rozsądny wybór, gdy chcesz szczuplejszego urządzenia i nie potrzebujesz szerokości wtyczek OPNsense.
Te podsumowania opierają się na aktualnej dokumentacji i informacjach o wydaniach. Przetestuj każdą dystrybucję firewalla sieciowego w VM, zanim zaufasz jej w prawdziwej sieci.
Kluczowy wniosek z sekcji: Jeśli masz sieć do ochrony i zapasową maszynę, OPNsense to darmowy wybór w 2026. Jeśli masz pojedynczy VPS, cała ta kategoria to niewłaściwa warstwa.
Web application firewalle: SafeLine vs BunkerWeb vs Haltdos
Firewall hosta kontroluje, które porty są otwarte. WAF robi coś innego: analizuje ruch HTTP pod kątem ataków na warstwę webową, takich jak SQL injection, XSS i reszta OWASP Top 10, których firewall oparty na portach nie widzi. Jeśli uruchamiasz aplikację webową lub API na swoim VPS, WAF to druga, uzupełniająca warstwa. Nie zastępuje firewalla hosta; obie znajdują się w różnych punktach stosu.
W przypadku wdrożeń na VPS zacznij od zapotrzebowania na zasoby. WAF, który mieści się w Twoim budżecie RAM, to zwykle ten, który faktycznie utrzymasz w działaniu.
| WAF | Minimum RAM | Licencja | Wdrażanie | Interfejs zarządzania |
|---|---|---|---|---|
| SafeLine | 1 GB | licencja GPL-3.0 | Docker | Interfejs sieciowy |
| BunkerWeb | 8 GB | AGPLv3 | Docker (reverse proxy NGINX) | Interfejs sieciowy |
| Haltdos Community | 2 GB | Darmowa edycja społecznościowa | VM, Docker lub sprzęt | Interfejs sieciowy |
SafeLine to najlżejszy punkt wejścia. Jego repozytorium GitHub określa go jako samodzielnie hostowany WAF/reverse proxy na licencji GPL-3.0. Opis instalacji od strony trzeciej podaje jako minimum 1 rdzeń CPU, 1 GB RAM i 5 GB dysku, z Dockerem 20.10.14 lub nowszym oraz Docker Compose 2.0.0 lub nowszym. SafeLine wykorzystuje analizę semantyczną zamiast polegać wyłącznie na tradycyjnej liście reguł, ale jego publikowane wskaźniki wykrywalności należy traktować jako deklaracje projektu/dostawcy, a nie jako niezależne wyniki benchmarków. Pod względem samych zasobów SafeLine nadal jest wyborem dla małego VPS.
BunkerWeb ma najwięcej funkcji i jest najcięższy. To WAF typu reverse proxy oparty na NGINX na licencji AGPLv3, zbudowany na ModSecurity z OWASP Core Rule Set. Kosztem jest RAM. Własna dokumentacja BunkerWeb podaje 2 vCPU i 8 GB RAM jako minimalną zalecaną specyfikację oraz 4 vCPU z 16 GB dla produkcji z wieloma usługami.
Haltdos Community to trzecia darmowa opcja. Jego strona edycji społecznościowej wymienia pokrycie OWASP Top 10, ochronę przed DDoS i botami, ograniczanie tempa żądań, wbudowane reguły oraz webowe GUI do zarządzania. Jego dokumentacja podaje 2 GB RAM, 60 GB dysku i co najmniej 2 vCPU jako minimalne wymagania, z obsługą wdrożeń na VM, Dockerze lub sprzęcie.
SafeLine, BunkerWeb oraz Haltdos są dostępne jako wdrożenia jednym kliknięciem w marketplace Cloudzy, a także działają na dowolnym VPS ręcznie. Niezależnie od tego, czy chronisz API skierowane do klientów, czy osobistą usługę wystawioną do internetu, warstwa jest taka sama; wybór dotyczy głównie tego, ile RAM jesteś skłonny jej przydzielić.
Kluczowy wniosek z sekcji: WAF to warstwa oddzielna od firewalla hosta. SafeLine to najlżejsza darmowa opcja; BunkerWeb ma najwięcej funkcji, ale potrzebuje znacznie większego serwera.
Jeśli zdecydowałeś, że WAF pasuje do Twojego serwera, to na etapie wdrożenia marketplace może zaoszczędzić czas. SafeLine i BunkerWeb działają w Dockerze, co zwykle oznacza plik Compose, konfigurację reverse proxy i debugowanie przy pierwszym uruchomieniu. Opcje z marketplace Cloudzy dla SafeLine, BunkerWeb i Haltdos pozwalają pominąć wstępny krok instalacji, ale nadal musisz skonfigurować routing do upstreamu, DNS, TLS, obsługę fałszywych alarmów i reguły firewalla hosta. Sama warstwa firewalla hosta jest lekka i zwykle dostępna z pakietów dystrybucji; upewnij się, że jest zainstalowana, skonfigurowana i włączona przed wystawieniem usług. Dobierz plan do WAF-a: 1 GB wystarczy dla SafeLine, ale próg 8 GB w BunkerWeb oznacza większą instancję. Możesz wdrożyć WAF na Cloudzy Linux VPS i uruchomić firewall hosta na tej samej maszynie.
Jedno zastrzeżenie dotyczące Dockera: jeśli Twoja aplikacja lub WAF działa w Dockerze, nie zakładaj, że samo UFW kontroluje każdy opublikowany port kontenera. Docker tworzy własne reguły firewalla domyślnie, więc tam gdzie to możliwe, przypinaj kontenery backendu do localhost lub prywatnych sieci Docker i wystawiaj tylko te porty skierowane do WAF-a, które faktycznie zamierzasz opublikować.
Czy potrzebujesz zarówno firewalla hosta, jak i WAF-a?
Tak, jeśli uruchamiasz publiczną aplikację webową, chronią one różne warstwy. Firewall hosta (UFW lub firewalld) kontroluje, które porty są otwarte, i stanowi podstawę dla każdego VPS. WAF analizuje ruch HTTP przepływający przez te otwarte porty pod kątem ataków na warstwę aplikacji. WAF nie zastępuje firewalla hosta; znajduje się za nim.
Firewall hosta jest niepodważalny. Każdy VPS go potrzebuje, niezależnie od tego, czy jest aplikacja webowa czy nie, ponieważ to on powstrzymuje resztę internetu przed dotarciem do usług, których nigdy nie zamierzałeś wystawiać. WAF jest warunkowy. Dodaj go, gdy obsługujesz ruch HTTP lub HTTPS, który mógłby zostać zaatakowany na warstwie aplikacji: publiczne API, CMS, wszystko, co przyjmuje dane wejściowe użytkownika przez sieć. Statyczna strona lub usługa tylko wewnętrzna za VPN może w ogóle nie potrzebować WAF-a; w takim przypadku sam firewall hosta jest właściwą odpowiedzią, a dodanie WAF-a to zbędny narzut. Dopasuj warstwy do tego, co faktycznie uruchamiasz, a nie do listy kontrolnej.
Kluczowy wniosek z sekcji: Firewall hosta to podstawa dla każdego VPS. Dodaj WAF, gdy wystawiasz aplikację webową do internetu.
Często zadawane pytania
Czy iptables jest przestarzały w Linuksie?
W praktyce tak. nftables zastąpił iptables jako backend filtrowania pakietów w jądrze nowoczesnego Linuksa. Ale to zmiana backendu, a nie wezwanie do działania. UFW i firewalld w aktualnych dystrybucjach już działają na nftables, a Twoje istniejące reguły UFW nie wymagają przepisania. Polecenia frontendu pozostają niezmienione; przesunął się tylko silnik pod nimi.
Czy pfSense jest nadal darmowy w 2026?
Tak. pfSense Community Edition, obecnie 2.8.1, jest darmowe i open source. Haczykiem jest podział CE/Plus: pfSense CE pozostaje darmowym produktem społecznościowym, natomiast pfSense Plus to osobna ścieżka komercyjna dla urządzeń Netgate, wdrożeń chmurowych i sprzętu innych producentów. Aby poznać aktualne warunki Plus i ewentualny koszt subskrypcji, sprawdź stronę pfSense Plus firmy Netgate zamiast polegać na liczbie z porównania od strony trzeciej.
Czy mogę uruchomić pfSense lub OPNsense na VPS?
Technicznie możliwe, ale architektonicznie nieodpowiednie na współdzielonym VPS. To systemy operacyjne bramy sieciowej, które oczekują kontroli ruchu między wieloma interfejsami sieciowymi, co wymaga NIC passthrough, którego większość dostawców VPS nie udostępnia. Na pojedynczym VPS tym, czego naprawdę chcesz, jest firewall hosta (UFW lub firewalld) oraz, w przypadku aplikacji webowych, WAF.
Czy potrzebuję WAF-a, jeśli mam już firewall na moim serwerze Linux?
Chronią różne warstwy, więc to zależy od tego, co uruchamiasz. Firewall hosta kontroluje, które porty są otwarte; WAF analizuje przepływający przez nie ruch HTTP pod kątem ataków na warstwę webową, takich jak SQL injection i XSS. Jeśli obsługujesz publiczną aplikację webową lub API, dodaj WAF na wierzchu firewalla hosta. Jeśli uruchamiasz tylko statyczną stronę lub usługę wewnętrzną, sam firewall hosta wystarczy.
Jaki jest najlepszy darmowy WAF dla małego Linux VPS?
SafeLine to najlżejsza darmowa opcja, z minimum 1 GB RAM działającym w Dockerze, co pasuje do małego VPS. BunkerWeb ma więcej funkcji, ale potrzebuje 8 GB RAM, więc nie nadaje się do wdrożenia na małym serwerze. Haltdos Community to trzecia darmowa opcja z interfejsem webowym; sprawdź jego dokumentację pod kątem aktualnych wymagań co do zasobów przed doborem serwera.