Перейти к основному содержанию
Скидка 50% все планы, ограниченное время. Начиная от $2.48/mo
14 min left
Безопасность и сети

Лучшие бесплатные файрволы для Linux VPS

C Автор: Chike 14 мин чтения
Diagram showing the best free firewall layers for a Linux VPS: a host firewall controlling ports and a WAF inspecting HTTP traffic

Лучший бесплатный файрвол для Linux VPS — это не один инструмент. Это хостовый файрвол (уровень, который нужен каждому серверу) и, если вы запускаете веб-приложение, файрвол веб-приложений поверх него. Это руководство охватывает оба уровня, называет самые сильные бесплатные и открытые варианты файрволов для каждого из них и рассказывает, во что каждый обходится по части RAM и усилий на настройку. Оно ориентировано на операторов Linux VPS. Это не обзор для Windows.

Кратко

  • «Лучший бесплатный файрвол» означает четыре разных продукта: хостовые файрволы Linux, сетевые файрвол-дистрибутивы, файрволы веб-приложений (WAF) и потребительские инструменты для Windows. На VPS место только первым и третьим.
  • На уровне хоста используйте самый простой инструмент, подходящий вашему дистрибутиву: UFW на Ubuntu, firewalld в семействе RHEL и либо UFW, либо напрямую nftables на Debian в зависимости от того, сколько контроля вам нужно. Современные фронтенд-инструменты, как правило, работают поверх nftables, но сам nftables — стандартный и рекомендуемый фреймворк на Debian.
  • WAF — это отдельный, дополняющий уровень для веб-приложений. Он не заменяет хостовый файрвол.
  • SafeLine — самый лёгкий бесплатный WAF (1 GB RAM). BunkerWeb — самый функциональный, но требует 8 GB. Haltdos Community — третий бесплатный вариант с веб-интерфейсом.

Что это руководство пропускает

Несколько категорий файрволов, которые встречаются в других списках «лучших бесплатных файрволов», здесь неприменимы, и упомянув их один раз, мы избавим вас от погони за не тем инструментом.

  • Файрволы для Windows и потребительских устройств (ZoneAlarm, Comodo, TinyWall). Не та операционная система, не та машина.
  • Платные коммерческие и корпоративные файрволы (Cisco ASA, Palo Alto, Fortinet). За рамками «бесплатного».
  • Облачные WAF-сервисы SaaS (Cloudflare, Sucuri). Работоспособный вариант, но основанный на DNS/прокси и выходящий за рамки этого самостоятельно размещаемого VPS. Cloudflare действительно предлагает бесплатный базовый набор правил WAF, тогда как более полный охват управляемых правил и набора правил OWASP зависит от тарифа.
  • Запуск pfSense или OPNsense в качестве шлюза на общем VPS. Архитектурно непригодно без проброса NIC. Объясняется в разделе о сетевых дистрибутивах.

Что на самом деле означает «лучший бесплатный файрвол» (четыре категории)

The four categories the term best free firewall covers: Linux host firewalls, network firewall distros, web application firewalls, and Windows endpoint tools

Причина, по которой этот поисковый запрос водит вас по кругу, в том, что он охватывает четыре продукта, решающие четыре разные задачи на четырёх разных машинах. Сначала определите свою категорию, а затем выбирайте инструмент.

  1. Хостовые файрволы Linux/VPS: программное обеспечение, которое работает на той же машине, что и ваши сервисы, и контролирует, какие порты доступны. UFW, firewalld и nftables. Это уровень, который нужен каждому VPS.
  2. Сетевые файрвол-дистрибутивы: полноценные операционные системы, построенные вокруг файрвольного движка, разворачиваемые на выделенной машине или ВМ для защиты целой сети. OPNsense, pfSense, IPFire. Это для домашней лаборатории или офисной LAN, а не для VPS, который вы пытаетесь защитить.
  3. Файрволы веб-приложений (WAF): обратные прокси, которые анализируют HTTP-трафик на предмет атак веб-уровня, таких как SQL-инъекции, XSS и остальные из OWASP Top 10. SafeLine, BunkerWeb, Haltdos, ModSecurity. Это для веб-приложения или API, работающего на вашем VPS.
  4. Потребительские файрволы для конечных устройств/Windows: настольное ПО, которое контролирует доступ отдельных приложений к интернету в Windows. Упомянуто здесь только для того, чтобы исключить.

Для VPS вы запускаете категории 1 и 3. Категория 2 работает на другой машине. Категория 4 работает на другой операционной системе. Правильный бесплатный или открытый вариант файрвола для вашей ситуации — это тот инструмент из категории 1, а возможно, и категории 3, который подходит вашему дистрибутиву и вашему трафику.

Краткий вердикт: Большинству операторов VPS стоит использовать UFW для хоста и добавить SafeLine, если вы запускаете веб-приложение и хотите WAF, не поднимая сервер на 8 GB.

Ключевой вывод раздела: На VPS вы выбираете между хостовыми файрволами и WAF. Сетевые дистрибутивы и потребительские инструменты — это другие продукты для других машин.

Хостовые файрволы: UFW против nftables против firewalld

Choosing a Linux host firewall by distro: UFW on Ubuntu, firewalld on RHEL-family, and nftables as the engine underneath both

Хостовый файрвол — это тот уровень, который нужен всегда. Он контролирует, какие порты на вашем сервере принимают соединения, и на новом VPS именно он определяет разницу между закрытой машиной и открытой. На Ubuntu этот файрвол обычно UFW. В дистрибутивах семейства RHEL — это firewalld. На Debian UFW — простой фронтенд для хостового файрвола, но стандартный и рекомендуемый фреймворк файрволинга в Debian — это nftables.

Три варианта чётко разделяются по дистрибутиву и по тому, сколько контроля вам нужно:

ИнструментСтандарт дистрибутиваИнтерфейсПодходит дляСложность
UFWUbuntu, распространённый простой вариант на DebianCLIОдиночный VPS, типичный случайНизкая
firewalldRHEL, CentOS, AlmaLinux, RockyCLI (на основе зон) + systemdСерверы семейства RHEL, правила на основе зонСредняя
nftablesДвижок под обоимиФайл конфигурации / CLIТысячи правил, тонкий контроль, высокая пропускная способностьВысокая

UFW — стандартный инструмент настройки файрвола в Ubuntu и распространённый простой выбор на Debian, но стандартный фреймворк файрволинга в Debian — это nftables. Для одного VPS UFW по-прежнему самая простая отправная точка, когда вам нужен лишь небольшой набор правил разрешения/запрета. Его CLI — самый простой из трёх, правила автоматически сохраняются между перезагрузками, а несколько команд покрывают всё, что нужно большинству операторов VPS. Его ограничение — продвинутые правила: сложная логика на основе наборов или тонкая фильтрация в UFW неудобны.

firewalld — стандарт в RHEL, CentOS, AlmaLinux и Rocky. Он основан на зонах, интегрируется с systemd и лучше UFW подходит для сегментации трафика по интерфейсу или уровню доверия. За эту мощь приходится платить временем на настройку. Если вы на VPS семейства RHEL, firewalld уже там и представляет собой путь наименьшего сопротивления.

nftables — это движок уровня ядра, который лежит в основе обоих. Вы используете его напрямую, когда вам действительно нужен его масштаб правил или скорость: тысячи правил, высокопроизводительная фильтрация или контроль, который фронтенд не предоставляет. Согласно сравнению UFW и nftables от Better Stack, nftables работает в 10–100 раз быстрее iptables, когда присутствуют тысячи правил. Эта цифра относится к nftables против iptables, а не UFW против iptables. Для типичного VPS с горсткой разрешающих правил вы этой разницы не почувствуете, и более крутая кривая обучения и отсутствие удобного интерфейса не стоят того. Есть и аспект безопасности, который стоит держать в поле зрения: у nftables были реальные ошибки ядра, включая CVE-2025-40206, поэтому держите ядро обновлённым. Это повод оставаться в актуальном состоянии, а не повод избегать бэкенда, который вы и так уже используете.

Если вам нужна пошаговая инструкция по правилам UFW, руководство Cloudzy по командам UFW разбирает команды шаг за шагом. Этот раздел — о выборе инструмента, а не о написании правил.

Совет профессионала: «iptables устарел» не значит, что вам есть чем заняться. nftables заменил iptables в качестве бэкенда ядра, и UFW и firewalld на современных дистрибутивах уже работают поверх nftables. Ваши существующие правила UFW не нужно переписывать; команда фронтенда та же, изменился только движок под ней. Если вы переходите с чистого iptables и хотите понять этот переход, справочник Cloudzy по правилам iptables по-прежнему актуален, поскольку написанные вами правила отображаются на новый бэкенд.

Ключевой вывод раздела: Идите обычным путём своего дистрибутива: UFW на Ubuntu, firewalld в семействе RHEL и UFW или напрямую nftables на Debian в зависимости от того, сколько контроля вам нужно. Обращайтесь к nftables напрямую только тогда, когда вам действительно нужен его масштаб правил или скорость.

Сетевые файрвол-дистрибутивы: где место OPNsense и pfSense (и почему не на вашем VPS)

OPNsense, pfSense и IPFire — это полноценные операционные системы для выделенной машины или ВМ, которая защищает целую сеть. Их не запускают на том VPS, который вы пытаетесь защитить. О них стоит знать, потому что результаты поиска будут выдавать их вам, так что вот где им место, а где нет.

Когда такой вариант действительно нужен: домашняя лаборатория или LAN небольшого офиса, на выделенном оборудовании или ВМ с пробросом NIC, находящаяся между вашей сетью и интернетом. Защищаете ли вы стойку офисных машин или личную лабораторию, которую выставляете в интернет, — именно эта категория справляется с задачей.

Почему это не тот инструмент на общем VPS: эти дистрибутивы рассчитывают контролировать трафик между несколькими сетевыми интерфейсами. На общем VPS это означает проброс NIC, который большинство провайдеров не предоставляет. Без него вы запускаете ОС сетевого шлюза на машине, у которой нет сети для шлюзования. Если у вас один VPS, вся эта категория — не тот уровень, а правильный — это UFW плюс WAF.

Три бесплатных варианта по состоянию на 2026 год, вкратце:

  • OPNsense (под лицензией BSD, текущая стабильная серия CE: 26.1, с 26.1.11, выпущенной 1 июля 2026 года). Полностью открытый исходный код, частые обновления и отсутствие разделения на модель CE/Plus, как у pfSense. Это делает его более чистым бесплатным выбором сетевого устройства для многих пользователей, которым нужен полностью открытый файрвол-дистрибутив без путаницы с уровнями функций.
  • pfSense Community Edition (текущий релиз CE: 2.8.1, выпущен в сентябре 2025 года). По-прежнему бесплатный и с открытым исходным кодом, с более обширной документацией и библиотекой сообщества, чем у OPNsense. Загвоздка — в разделении CE/Plus: pfSense CE остаётся бесплатным продуктом сообщества, тогда как pfSense Plus — отдельный коммерческий путь для устройств Netgate, облачных развёртываний и стороннего оборудования. Актуальные условия Plus смотрите на странице pfSense Plus от Netgate , а не доверяйте цифре из сравнительной статьи.
  • IPFire (последний 2.29 Core Update 202, согласно блогу релизов IPFire). Более лёгкий, чем два других, но с меньшим сообществом. Разумный выбор, когда вам нужно более компактное устройство и не требуется широта плагинов OPNsense.

Эти сводки основаны на актуальной документации и заметках о выпусках. Тестируйте любой сетевой файрвол-дистрибутив в ВМ, прежде чем полагаться на него в реальной сети.

Ключевой вывод раздела: Если у вас есть сеть, которую нужно защитить, и запасная машина, OPNsense — бесплатный выбор в 2026 году. Если у вас один VPS, вся эта категория — не тот уровень.

Файрволы веб-приложений: SafeLine против BunkerWeb против Haltdos

Comparing three free web application firewalls for a VPS: SafeLine at 1 GB RAM, BunkerWeb at 8 GB, and Haltdos Community at 2 GB, each with a web UI

Хостовый файрвол контролирует, какие порты открыты. WAF делает нечто иное: он анализирует HTTP-трафик на предмет атак веб-уровня, таких как SQL-инъекции, XSS и остальные из OWASP Top 10, которые файрвол на основе портов не видит. Если вы запускаете веб-приложение или API на своём VPS, WAF — это второй, дополняющий уровень. Он не заменяет хостовый файрвол; они находятся в разных точках стека.

Для развёртываний на VPS начните с потребления ресурсов. WAF, который вписывается в ваш бюджет RAM, — обычно тот, который вы реально сможете поддерживать в работе.

WAFМинимум RAMЛицензияРазвёртываниеИнтерфейс управления
SafeLine1 GBЛицензия GPL-3.0DockerВеб-интерфейс
BunkerWeb8 GBAGPLv3Docker (обратный прокси NGINX)Веб-интерфейс
Haltdos Community2 GBБесплатная версия для сообществаВМ, Docker или оборудованиеВеб-интерфейс

SafeLine — самая лёгкая точка входа. Его GitHub-репозиторий определяет его как самостоятельно размещаемый WAF/обратный прокси под лицензией GPL-3.0. Стороннее описание установки указывает минимум как 1 ядро CPU, 1 GB RAM и 5 GB диска, с Docker 20.10.14 или новее и Docker Compose 2.0.0 или новее. SafeLine использует семантический анализ, а не полагается только на традиционный список правил, но его опубликованные показатели уровня обнаружения следует рассматривать как заявления проекта/вендора, а не результаты независимых бенчмарков. По одним лишь ресурсам SafeLine по-прежнему выбор для небольшого VPS.

BunkerWeb — самый функциональный и самый тяжёлый. Это WAF на основе обратного прокси NGINX под AGPLv3, построенный на ModSecurity с набором правил OWASP Core Rule Set. Плата за это — RAM. собственная документация BunkerWeb указывает 2 vCPU и 8 GB RAM как минимальную рекомендуемую конфигурацию и 4 vCPU с 16 GB для продакшена с большим количеством сервисов.

Haltdos Community — третий бесплатный вариант. Его страница версии для сообщества перечисляет охват OWASP Top 10, защиту от DDoS и ботов, ограничение частоты запросов, встроенные правила и веб-интерфейс управления GUI. Его документация указывает 2 GB RAM, 60 GB диска и как минимум 2 vCPU в качестве минимальных требований, с поддержкой развёртывания на ВМ, Docker или оборудовании.

SafeLine, BunkerWeb, и Haltdos все доступны как развёртывания в один клик в маркетплейсе Cloudzy, а также запускаются вручную на любом VPS. Защищаете ли вы клиентский API или личный сервис, выставленный в интернет, — уровень тот же; выбор сводится в основном к тому, сколько RAM вы готовы ему выделить.

Ключевой вывод раздела: WAF — это отдельный уровень от вашего хостового файрвола. SafeLine — самый лёгкий бесплатный вариант; BunkerWeb — самый функциональный, но требует куда более крупного сервера.

Если вы решили, что WAF должен быть на вашем сервере, именно на шаге развёртывания маркетплейс может сэкономить время. SafeLine и BunkerWeb работают в Docker, что обычно означает Compose-файл, настройку обратного прокси и отладку при первом запуске. Варианты из маркетплейса Cloudzy для SafeLine, BunkerWeb и Haltdos позволяют пропустить начальный этап установки, но вам всё равно нужно настроить маршрутизацию к upstream, DNS, TLS, обработку ложных срабатываний и правила хостового файрвола. Сам уровень хостового файрвола лёгкий и обычно доступен из пакетов дистрибутива; убедитесь, что он установлен, настроен и включён, прежде чем выставлять сервисы. Подбирайте тариф под WAF: 1 GB достаточно для SafeLine, но нижняя планка BunkerWeb в 8 GB означает более крупный инстанс. Вы можете развернуть WAF на Облачный VPS Cloudzy Linux и запустить хостовый файрвол на той же машине.

Одна оговорка про Docker: если ваше приложение или WAF работает в Docker, не считайте, что один UFW контролирует каждый опубликованный порт контейнера. Docker создаёт собственные правила файрвола по умолчанию, поэтому по возможности привязывайте бэкенд-контейнеры к localhost или приватным сетям Docker и открывайте только те обращённые к WAF порты, которые вы действительно намерены публиковать.

Нужны ли вам и хостовый файрвол, и WAF?

Да, если вы запускаете публичное веб-приложение, они защищают разные уровни. Хостовый файрвол (UFW или firewalld) контролирует, какие порты открыты, и является базой для каждого VPS. WAF анализирует HTTP-трафик, проходящий через эти открытые порты, на предмет атак прикладного уровня. WAF не заменяет хостовый файрвол; он находится за ним.

Хостовый файрвол не обсуждается. Он нужен каждому VPS, есть веб-приложение или нет, потому что именно он не даёт остальному интернету добраться до сервисов, которые вы никогда не собирались выставлять. WAF — по обстоятельствам. Добавляйте его, когда вы обслуживаете HTTP- или HTTPS-трафик, который может быть атакован на прикладном уровне: публичный API, CMS, всё, что принимает пользовательский ввод через веб. Статическому сайту или чисто внутреннему сервису за VPN WAF может вовсе не понадобиться; в этом случае правильный ответ — один лишь хостовый файрвол, а добавление WAF — это лишние накладные расходы, которые вам не нужны. Подбирайте уровни под то, что вы действительно запускаете, а не под чек-лист.

Ключевой вывод раздела: Хостовый файрвол — база для каждого VPS. Добавляйте WAF, когда выставляете веб-приложение в интернет.

Часто задаваемые вопросы

Устарел ли iptables в Linux?

По сути, да. nftables заменил iptables в качестве бэкенда фильтрации пакетов ядра в современном Linux. Но это изменение бэкенда, а не призыв к действию. UFW и firewalld на актуальных дистрибутивах уже работают поверх nftables, и ваши существующие правила UFW не нужно переписывать. Команды фронтенда не изменились; сместился лишь движок под ними.

Остаётся ли pfSense бесплатным в 2026 году?

Да. pfSense Community Edition, сейчас 2.8.1, бесплатен и с открытым исходным кодом. Загвоздка — в разделении CE/Plus: pfSense CE остаётся бесплатным продуктом сообщества, тогда как pfSense Plus — отдельный коммерческий путь для устройств Netgate, облачных развёртываний и стороннего оборудования. Актуальные условия Plus и стоимость подписки смотрите на странице pfSense Plus от Netgate, а не полагайтесь на цифру из стороннего сравнения.

Могу ли я запустить pfSense или OPNsense на VPS?

Технически возможно, но архитектурно непригодно на общем VPS. Это операционные системы сетевого шлюза, которые рассчитывают контролировать трафик между несколькими сетевыми интерфейсами, а для этого нужен проброс NIC, который большинство VPS-провайдеров не предоставляет. На одиночном VPS вам на самом деле нужен хостовый файрвол (UFW или firewalld) и, для веб-приложений, WAF.

Нужен ли мне WAF, если у меня уже есть файрвол на моём Linux-сервере?

Они защищают разные уровни, так что всё зависит от того, что вы запускаете. Хостовый файрвол контролирует, какие порты открыты; WAF анализирует проходящий через них HTTP-трафик на предмет атак веб-уровня, таких как SQL-инъекции и XSS. Если вы обслуживаете публичное веб-приложение или API, добавьте WAF поверх хостового файрвола. Если вы запускаете только статический сайт или внутренний сервис, достаточно одного хостового файрвола.

Какой лучший бесплатный WAF для небольшого Linux VPS?

SafeLine — самый лёгкий бесплатный вариант, с минимумом в 1 GB RAM при работе в Docker, что подходит небольшому VPS. BunkerWeb более функционален, но требует 8 GB RAM, так что это не развёртывание для маленького сервера. Haltdos Community — третий бесплатный вариант с веб-интерфейсом; сверьтесь с его документацией по актуальным требованиям к ресурсам, прежде чем подбирать размер сервера.

Поделиться

Ещё в блоге

Читайте дальше.

What is a VPN router: how it works, the four ways to run one, and when a VPS gateway is the better choice.
Безопасность и сети

Что такое VPN-роутер? Как он работает и когда он вам нужен

VPN-роутер запускает VPN-софт прямо на роутере, поэтому каждое устройство автоматически получает туннель. Как это работает, когда его стоит использовать и когда VPS подходит лучше.

Jonas 16 мин чтения

Готовы к развёртыванию? От $2,48/мес.

Независимое облако с 2008 года. AMD EPYC, NVMe, 40 Gbps. Возврат денег в течение 14 дней.