Saltar para o conteúdo principal
50% de desconto todos os planos, tempo limitado. A partir de $2.48/mo
14 min left
Segurança e redes

Melhores firewalls gratuitos para um VPS Linux

C Por Chike 14 min de leitura
Diagram showing the best free firewall layers for a Linux VPS: a host firewall controlling ports and a WAF inspecting HTTP traffic

O melhor firewall gratuito para um VPS Linux não é uma única ferramenta. É um firewall de host (a camada que todo servidor precisa) e, se você executa uma aplicação web, um firewall de aplicação web por cima. Este guia cobre os dois, indica as opções de firewall gratuitas ou de código aberto mais fortes para cada camada e informa quanto cada uma custa em RAM e esforço de configuração. Ele é voltado para operadores de VPS Linux. Não é uma comparação de Windows.

A versão curta

  • "Melhor firewall gratuito" significa quatro produtos diferentes: firewalls de host Linux, distribuições de firewall de rede, firewalls de aplicação web (WAFs) e ferramentas de consumo para Windows. Apenas o primeiro e o terceiro pertencem a um VPS.
  • Na camada de host, use a ferramenta mais simples que se encaixa na sua distro: UFW no Ubuntu, firewalld na família RHEL e UFW ou nftables diretamente no Debian, dependendo de quanto controle você precisa. As ferramentas de frontend modernas geralmente se apoiam no nftables, mas o próprio nftables é o framework padrão e recomendado no Debian.
  • Um WAF é uma camada separada e complementar para aplicações web. Ele não substitui o firewall de host.
  • O SafeLine é o WAF gratuito mais leve (1 GB de RAM). O BunkerWeb é o mais completo em recursos, mas quer 8 GB. O Haltdos Community é uma terceira opção gratuita com uma UI web.

O que este guia deixa de fora

Algumas categorias de firewall que aparecem em outras listas de "melhor firewall gratuito" não se aplicam aqui, e citá-las uma vez evita que você persiga a ferramenta errada.

  • Firewalls de endpoint para Windows e de consumo (ZoneAlarm, Comodo, TinyWall). Sistema operacional errado, máquina errada.
  • Firewalls comerciais e corporativos pagos (Cisco ASA, Palo Alto, Fortinet). Fora do escopo "gratuito".
  • WAF SaaS em nuvem (Cloudflare, Sucuri). Válidos, mas baseados em DNS/proxy e fora deste escopo de VPS auto-hospedado. O Cloudflare oferece um conjunto de regras WAF básico gratuito, enquanto uma cobertura mais completa de regras gerenciadas e do conjunto OWASP depende do plano.
  • Executar pfSense ou OPNsense como gateway em um VPS compartilhado. Arquiteturalmente inadequado sem passthrough de NIC. Explicado na seção de distribuições de rede.

O que "melhor firewall gratuito" realmente significa (quatro categorias)

The four categories the term best free firewall covers: Linux host firewalls, network firewall distros, web application firewalls, and Windows endpoint tools

O motivo pelo qual o termo de busca faz você andar em círculos é que ele abrange quatro produtos que resolvem quatro problemas diferentes em quatro máquinas diferentes. Primeiro encaixe-se em uma categoria, depois escolha uma ferramenta.

  1. Firewalls de host/VPS Linux: software que roda na mesma máquina que seus serviços e controla quais portas ficam acessíveis. UFW, firewalld e nftables. Esta é a camada que todo VPS precisa.
  2. Distribuições de firewall de rede: sistemas operacionais completos construídos em torno de um motor de firewall, implantados em uma máquina dedicada ou VM para proteger uma rede inteira. OPNsense, pfSense, IPFire. Eles são para um homelab ou uma LAN de escritório, não para o VPS que você está tentando proteger.
  3. Firewalls de aplicação web (WAFs): proxies reversos que inspecionam o tráfego HTTP em busca de ataques na camada web, como injeção de SQL, XSS e o restante do OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Eles são para uma aplicação web ou API rodando no seu VPS.
  4. Firewalls de endpoint de consumo/Windows: software de desktop que controla o acesso à internet por aplicação no Windows. Citado aqui apenas para excluí-lo.

Para um VPS, as categorias 1 e 3 são as que você executa. A categoria 2 roda em uma máquina diferente. A categoria 4 roda em um sistema operacional diferente. A opção de firewall gratuita ou de código aberto certa para a sua situação é qualquer ferramenta da categoria 1, e possivelmente da categoria 3, que se encaixe na sua distro e no seu tráfego.

Veredito rápido: Para a maioria dos operadores de VPS, use o UFW para o host e adicione o SafeLine se você executa uma aplicação web e quer um WAF sem ter que subir um servidor de 8 GB.

Principal conclusão da seção: Em um VPS, você está escolhendo entre firewalls de host e WAFs. Distribuições de rede e ferramentas de consumo são produtos diferentes para máquinas diferentes.

Firewalls de host: UFW vs nftables vs firewalld

Choosing a Linux host firewall by distro: UFW on Ubuntu, firewalld on RHEL-family, and nftables as the engine underneath both

O firewall de host é a única camada de que você sempre precisa. Ele controla quais portas do seu servidor aceitam conexões e, em um VPS novo, é a diferença entre uma máquina bem trancada e uma aberta. No Ubuntu, esse firewall costuma ser o UFW. Nas distros da família RHEL, é o firewalld. No Debian, o UFW é um frontend simples de firewall de host, mas o framework de firewall padrão e recomendado do Debian é o nftables.

As três opções se dividem de forma clara por distro e por quanto controle você precisa:

FerramentaPadrão da distroInterfaceMelhor paraComplexidade
UFWUbuntu, opção simples comum no DebianCLIUm único VPS, o caso comumBaixa
firewalldRHEL, CentOS, AlmaLinux, RockyCLI (baseada em zonas) + systemdServidores da família RHEL, regras baseadas em zonasMédia
nftablesO motor por trás de ambosArquivo de configuração / CLIMilhares de regras, controle granular, alta vazãoAlto

O UFW é a ferramenta padrão de configuração de firewall do Ubuntu e uma escolha simples comum no Debian, mas o framework de firewall padrão do Debian é o nftables. Para um único VPS, o UFW ainda é o ponto de partida mais fácil quando você só precisa de um pequeno conjunto de regras de permitir/negar. A CLI é a mais simples das três, as regras persistem automaticamente entre reinicializações e alguns comandos cobrem tudo o que a maioria dos operadores de VPS precisa. Seu limite são as regras avançadas: lógica complexa baseada em conjuntos ou correspondência granular fica desajeitada no UFW.

O firewalld é o padrão no RHEL, CentOS, AlmaLinux e Rocky. Ele é baseado em zonas, integra-se com o systemd e é mais capaz que o UFW para segmentar o tráfego por interface ou nível de confiança. Esse poder custa tempo de configuração. Se você está em um VPS da família RHEL, o firewalld já está lá e é o caminho de menor resistência.

O nftables é o motor de nível de kernel que fica por baixo de ambos. Você o usa diretamente quando realmente precisa da escala de regras ou da velocidade dele: milhares de regras, filtragem de alto desempenho ou um controle que um frontend não expõe. De acordo com a comparação UFW vs nftables da Better Stack, o nftables roda de 10 a 100 vezes mais rápido que o iptables quando há milhares de regras presentes. Esse número é nftables versus iptables, não UFW versus iptables. Para um VPS típico com um punhado de regras de permissão, você não vai sentir essa diferença, e a curva de aprendizado mais íngreme e a falta de uma UI amigável não valem o preço. Há também um ângulo de segurança a considerar: o nftables já teve bugs reais de kernel, incluindo CVE-2025-40206, então mantenha seu kernel atualizado. Isso é um motivo para se manter atualizado, não um motivo para evitar o backend que você já está executando.

Se você quer o passo a passo para as regras do UFW, o guia de comandos UFW da Cloudzy cobre os comandos passo a passo. Esta seção trata da escolha da ferramenta, não da escrita das regras.

Dica profissional: "o iptables está obsoleto" não significa que você tem trabalho a fazer. O nftables substituiu o iptables como backend do kernel, e o UFW e o firewalld já se apoiam no nftables nas distros modernas. Suas regras UFW existentes não precisam ser reescritas; o comando de frontend é o mesmo, apenas o motor por baixo mudou. Se você está vindo do iptables puro e quer entender a transição, a referência de regras iptables da Cloudzy ainda se aplica, já que as regras que você escreveu se mapeiam para o novo backend.

Principal conclusão da seção: Use o caminho normal da sua distro: UFW no Ubuntu, firewalld na família RHEL e UFW ou nftables diretamente no Debian, dependendo de quanto controle você precisa. Recorra ao nftables diretamente apenas quando você realmente precisar da escala de regras ou da velocidade dele.

Distribuições de firewall de rede: onde OPNsense e pfSense se encaixam (e por que não no seu VPS)

OPNsense, pfSense e IPFire são sistemas operacionais completos para uma máquina dedicada ou VM que protege uma rede inteira. Eles não são algo que você executa no VPS que está tentando proteger. Vale conhecê-los porque os resultados de busca vão colocá-los diante de você, então aqui está onde eles se encaixam e onde não.

Quando você realmente quereria um: um homelab ou uma LAN de pequeno escritório, em hardware dedicado ou uma VM com passthrough de NIC, posicionado entre a sua rede e a internet. Seja protegendo um rack de máquinas de escritório ou um laboratório pessoal que você expõe à internet, esta é a categoria que faz o serviço.

Por que é a ferramenta errada em um VPS compartilhado: essas distros esperam controlar o tráfego entre múltiplas interfaces de rede. Em um VPS compartilhado, isso significa passthrough de NIC, que a maioria dos provedores não expõe. Sem ele, você está executando um SO de gateway de rede em uma máquina que não tem rede para controlar. Se você tem um único VPS, toda essa categoria é a camada errada, e o UFW mais um WAF é a certa.

As três opções gratuitas em 2026, em resumo:

  • OPNsense (licenciado sob BSD, série CE estável atual: 26.1, com o 26.1.11 lançado em 1º de julho de 2026). Totalmente de código aberto, atualizado com frequência e não dividido no mesmo modelo CE/Plus do pfSense. Isso o torna a escolha de appliance de rede gratuita mais limpa para muitos usuários que querem uma distribuição de firewall totalmente de código aberto sem a confusão de níveis de recursos.
  • pfSense Community Edition (versão CE atual: 2.8.1, lançado em setembro de 2025). Ainda gratuito e de código aberto, com uma documentação e uma biblioteca comunitária maiores que as do OPNsense. O detalhe é a divisão CE/Plus: o pfSense CE continua sendo o produto comunitário gratuito, enquanto o pfSense Plus é o caminho comercial separado para appliances Netgate, implantações em nuvem e hardware de terceiros. Para os termos atuais do Plus, consulte a página do pfSense Plus da Netgate em vez de confiar em um número de um post de comparação.
  • IPFire (o mais recente 2.29 Core Update 202, segundo o blog de lançamentos do IPFire). Uma pegada mais leve que as outras duas, com uma comunidade menor. Uma escolha razoável quando você quer um appliance mais enxuto e não precisa da amplitude de plugins do OPNsense.

Estes resumos são baseados na documentação e nas notas de lançamento atuais. Teste qualquer distribuição de firewall de rede em uma VM antes de confiar nela para uma rede real.

Principal conclusão da seção: Se você tem uma rede para proteger e uma máquina sobrando, o OPNsense é a escolha gratuita em 2026. Se você tem um único VPS, toda essa categoria é a camada errada.

Firewalls de aplicação web: SafeLine vs BunkerWeb vs Haltdos

Comparing three free web application firewalls for a VPS: SafeLine at 1 GB RAM, BunkerWeb at 8 GB, and Haltdos Community at 2 GB, each with a web UI

Um firewall de host controla quais portas estão abertas. Um WAF faz algo diferente: ele inspeciona o tráfego HTTP em busca de ataques na camada web como injeção de SQL, XSS e o restante do OWASP Top 10, que um firewall baseado em portas não consegue ver. Se você executa uma aplicação web ou uma API no seu VPS, um WAF é uma segunda camada, complementar. Ele não substitui o firewall de host; os dois ficam em pontos diferentes da pilha.

Para implantações em VPS, comece pela pegada de recursos. O WAF que cabe no seu orçamento de RAM costuma ser o que você consegue de fato manter em execução.

WAFPiso de RAMLicençaImplantaçãoInterface de Gestão
SafeLine1 GBlicença GPL-3.0DockerInterface Web
BunkerWeb8 GBAGPLv3Docker (proxy reverso NGINX)Interface Web
Haltdos Community2 GBEdição comunitária gratuitaVM, Docker ou hardwareInterface Web

SafeLine é o ponto de entrada mais leve. Seu repositório no GitHub o identifica como um WAF/proxy reverso auto-hospedado sob uma licença GPL-3.0. A cobertura de instalação de terceiros lista como mínimo 1 núcleo de CPU, 1 GB de RAM e 5 GB de disco, com Docker 20.10.14 ou mais recente e Docker Compose 2.0.0 ou mais recente. O SafeLine usa análise semântica em vez de depender apenas de uma lista de regras tradicional, mas seus números publicados de taxa de detecção devem ser tratados como afirmações do projeto/fornecedor, e não como resultados de benchmark independentes. Só em termos de recursos, o SafeLine ainda é a escolha para VPS pequeno.

BunkerWeb é o mais completo em recursos e o mais pesado. É um WAF de proxy reverso baseado em NGINX sob AGPLv3, construído sobre o ModSecurity com o OWASP Core Rule Set. O custo é RAM. A própria documentação do BunkerWeb lista 2 vCPUs e 8 GB de RAM como a especificação mínima recomendada, e 4 vCPUs com 16 GB para produção com muitos serviços.

Haltdos Community é a terceira opção gratuita. Sua página da edição comunitária lista cobertura do OWASP Top 10, proteção contra DDoS e bots, limitação de taxa, regras integradas e uma GUI de gerenciamento baseada na web. Sua documentação lista 2 GB de RAM, 60 GB de disco e ao menos 2 vCPU como requisitos mínimos, com suporte a implantação em VM, Docker ou hardware.

SafeLine, BunkerWeb, e Haltdos estão todos disponíveis como implantações de um clique no marketplace da Cloudzy, e também rodam em qualquer VPS de forma manual. Seja protegendo uma API voltada ao cliente ou um serviço pessoal que você expõe à internet, a camada é a mesma; a escolha depende sobretudo de quanta RAM você está disposto a dar a ele.

Principal conclusão da seção: Um WAF é uma camada separada do seu firewall de host. O SafeLine é a opção gratuita mais leve; o BunkerWeb é o mais completo em recursos, mas precisa de um servidor bem maior.

Se você decidiu que um WAF pertence ao seu servidor, a etapa de implantação é onde o marketplace pode economizar tempo. SafeLine e BunkerWeb rodam ambos em Docker, o que normalmente significa um arquivo Compose, configuração de proxy reverso e depuração na primeira execução. As opções do marketplace da Cloudzy para SafeLine, BunkerWeb e Haltdos podem pular a etapa de instalação inicial, mas você ainda precisa configurar o roteamento upstream, DNS, TLS, o tratamento de falsos positivos e as regras do firewall de host. A camada do firewall de host em si é leve e normalmente está disponível nos pacotes da distro; certifique-se de que ela está instalada, configurada e ativada antes de expor os serviços. Dimensione o plano para o WAF: 1 GB serve para o SafeLine, mas o piso de 8 GB do BunkerWeb significa uma instância maior. Você pode implantar um WAF em um Cloudzy Linux VPS e executar seu firewall de host na mesma máquina.

Uma ressalva sobre o Docker: se sua aplicação ou WAF roda em Docker, não presuma que o UFW sozinho controla cada porta de contêiner publicada. O Docker cria suas próprias regras de firewall por padrão, então vincule os contêineres de backend ao localhost ou a redes Docker privadas sempre que possível, e exponha apenas as portas voltadas ao WAF que você realmente pretende publicar.

Você precisa de um firewall de host e de um WAF ao mesmo tempo?

Sim, se você executa uma aplicação web pública, eles protegem camadas diferentes. O firewall de host (UFW ou firewalld) controla quais portas estão abertas e é a base para todo VPS. Um WAF inspeciona o tráfego HTTP que flui por essas portas abertas em busca de ataques na camada de aplicação. O WAF não substitui o firewall de host; ele fica atrás dele.

O firewall de host é inegociável. Todo VPS precisa dele, com aplicação web ou não, porque é o que impede o resto da internet de alcançar serviços que você nunca pretendeu expor. O WAF é condicional. Adicione-o quando você serve tráfego HTTP ou HTTPS que poderia ser atacado na camada de aplicação: uma API pública, um CMS, qualquer coisa que receba entrada do usuário pela web. Um site estático ou um serviço apenas interno atrás de uma VPN pode não precisar de um WAF; nesse caso, o firewall de host sozinho é a resposta certa, e adicionar um WAF é uma sobrecarga de que você não precisa. Ajuste as camadas ao que você realmente executa, não a uma lista de verificação.

Principal conclusão da seção: O firewall de host é a base para todo VPS. Adicione um WAF quando você expõe uma aplicação web à internet.

Perguntas frequentes

O iptables está obsoleto no Linux?

Na prática, sim. O nftables substituiu o iptables como backend de filtragem de pacotes do kernel no Linux moderno. Mas essa é uma mudança de backend, não uma chamada à ação. O UFW e o firewalld já se apoiam no nftables nas distros atuais, e suas regras UFW existentes não precisam ser reescritas. Os comandos de frontend estão inalterados; apenas o motor por baixo deles mudou.

O pfSense ainda é gratuito em 2026?

Sim. O pfSense Community Edition, atualmente 2.8.1, é gratuito e de código aberto. O detalhe é a divisão CE/Plus: o pfSense CE continua sendo o produto comunitário gratuito, enquanto o pfSense Plus é o caminho comercial separado para appliances Netgate, implantações em nuvem e hardware de terceiros. Para os termos atuais do Plus e qualquer custo de assinatura, consulte a página do pfSense Plus da Netgate em vez de confiar em um número de uma comparação de terceiros.

Posso executar pfSense ou OPNsense em um VPS?

Tecnicamente possível, mas arquiteturalmente inadequado em um VPS compartilhado. Esses são sistemas operacionais de gateway de rede que esperam controlar o tráfego entre múltiplas interfaces de rede, o que exige um passthrough de NIC que a maioria dos provedores de VPS não expõe. Em um único VPS, o que você realmente quer é um firewall de host (UFW ou firewalld) e, para aplicações web, um WAF.

Preciso de um WAF se já tenho um firewall no meu servidor Linux?

Eles protegem camadas diferentes, então depende do que você executa. Um firewall de host controla quais portas estão abertas; um WAF inspeciona o tráfego HTTP que flui por elas em busca de ataques na camada web como injeção de SQL e XSS. Se você serve uma aplicação web ou API pública, adicione um WAF por cima do firewall de host. Se você executa apenas um site estático ou um serviço interno, o firewall de host sozinho é suficiente.

Qual é o melhor WAF gratuito para um VPS Linux pequeno?

O SafeLine é a opção gratuita mais leve, com um mínimo de 1 GB de RAM rodando em Docker, o que cabe em um VPS pequeno. O BunkerWeb é mais completo em recursos, mas precisa de 8 GB de RAM, então não é uma implantação para servidor pequeno. O Haltdos Community é uma terceira opção gratuita com uma UI web; consulte a documentação dele para ver os requisitos de recursos atuais antes de dimensionar seu servidor.

Partilhar

Mais do blogue

Continue a ler.

Pronto para implantar? A partir de $2,48/mês.

Cloud independente, desde 2008. AMD EPYC, NVMe, 40 Gbps. Reembolso em 14 dias.