Linux VPS için en iyi ücretsiz güvenlik duvarı tek bir araç değildir. Bir host güvenlik duvarı (her sunucunun ihtiyaç duyduğu katman) ve bir web uygulaması çalıştırıyorsanız bunun üzerine eklenen bir web uygulaması güvenlik duvarıdır. Bu rehber her ikisini de ele alıyor, her katman için en güçlü ücretsiz veya açık kaynak güvenlik duvarı seçeneklerini adlandırıyor ve her birinin size RAM ve kurulum eforu açısından ne kadara mal olduğunu belirtiyor. Kapsamı Linux VPS operatörleridir. Bir Windows derlemesi değildir.
Kısa Versiyon
- "En iyi ücretsiz güvenlik duvarı" dört farklı ürün anlamına gelir: Linux host güvenlik duvarları, ağ güvenlik duvarı dağıtımları, web uygulaması güvenlik duvarları (WAF'ler) ve Windows tüketici araçları. Bunlardan yalnızca birincisi ve üçüncüsü bir VPS'e aittir.
- Host katmanında, dağıtımınıza uyan en basit aracı kullanın: Ubuntu'da UFW, RHEL ailesinde firewalld ve ne kadar kontrole ihtiyaç duyduğunuza bağlı olarak Debian'da UFW veya doğrudan nftables. Modern frontend araçları genellikle nftables üzerinde çalışır, ancak nftables'ın kendisi Debian'da varsayılan ve önerilen çerçevedir.
- Bir WAF, web uygulamaları için ayrı, tamamlayıcı bir katmandır. Host güvenlik duvarının yerine geçmez.
- SafeLine en hafif ücretsiz WAF'tir (1 GB RAM). BunkerWeb en fazla özelliğe sahip olanıdır ancak 8 GB ister. Haltdos Community, web UI'ye sahip üçüncü bir ücretsiz seçenektir.
Bu Rehberin Atladıkları
Diğer "en iyi ücretsiz güvenlik duvarı" listelerinde görünen birkaç güvenlik duvarı kategorisi burada geçerli değildir ve bunları bir kez adlandırmak yanlış aracın peşinden koşmaktan sizi kurtarır.
- Windows ve tüketici uç nokta güvenlik duvarları (ZoneAlarm, Comodo, TinyWall). Yanlış işletim sistemi, yanlış makine.
- Ücretli ticari ve kurumsal güvenlik duvarları (Cisco ASA, Palo Alto, Fortinet). "Ücretsiz" kapsamının dışında.
- Bulut WAF SaaS (Cloudflare, Sucuri). Geçerlidir, ancak DNS/proxy tabanlıdır ve bu kendi kendine barındırılan VPS kapsamının dışındadır. Cloudflare ücretsiz bir temel WAF kural seti sunar, buna karşın daha kapsamlı yönetilen kural ve OWASP kural seti kapsamı plana bağlıdır.
- Paylaşımlı bir VPS'te ağ geçidi olarak pfSense veya OPNsense çalıştırmak. NIC passthrough olmadan mimari açıdan uygun değildir. Ağ dağıtımı bölümünde açıklanmıştır.
"En İyi Ücretsiz Güvenlik Duvarı" Aslında Ne Anlama Gelir (Dört Kategori)
Arama teriminin sizi döngüye sokmasının nedeni, dört farklı makinede dört farklı sorunu çözen dört ürünü kapsamasıdır. Önce kendinizi bir kategoriye yerleştirin, sonra bir araç seçin.
- Linux host/VPS güvenlik duvarları: hizmetlerinizle aynı makinede çalışan ve hangi portlara erişilebileceğini kontrol eden yazılım. UFW, firewalld ve nftables. Bu, her VPS'in ihtiyaç duyduğu katmandır.
- Ağ güvenlik duvarı dağıtımları: bir güvenlik duvarı motoru etrafında inşa edilmiş, tüm bir ağı korumak için özel bir makineye veya VM'e kurulan tam işletim sistemleri. OPNsense, pfSense, IPFire. Bunlar bir homelab veya ofis LAN'ı içindir, korumaya çalıştığınız VPS için değil.
- Web uygulaması güvenlik duvarları (WAF'ler): SQL injection, XSS ve OWASP Top 10'un geri kalanı gibi web katmanı saldırıları için HTTP trafiğini inceleyen ters proxy'ler. SafeLine, BunkerWeb, Haltdos, ModSecurity. Bunlar VPS'inizde çalışan bir web uygulaması veya API içindir.
- Tüketici/Windows uç nokta güvenlik duvarları: Windows'ta uygulama bazında internet erişimini kontrol eden masaüstü yazılımı. Burada yalnızca kapsam dışında bırakmak için adlandırılmıştır.
Bir VPS için, çalıştırdığınız kategoriler 1 ve 3'tür. Kategori 2 farklı bir makinede çalışır. Kategori 4 farklı bir işletim sisteminde çalışır. Durumunuz için doğru ücretsiz veya açık kaynak güvenlik duvarı seçeneği, kategori 1'deki ve muhtemelen kategori 3'teki, dağıtımınıza ve trafiğinize uyan araçtır.
Hızlı karar: Çoğu VPS operatörü için, host için UFW kullanın ve bir web uygulaması çalıştırıyor ve 8 GB'lık bir sunucu kurmadan bir WAF istiyorsanız SafeLine ekleyin.
Bölümün anahtar çıkarımı: Bir VPS'te host güvenlik duvarları ve WAF'ler arasında seçim yaparsınız. Ağ dağıtımları ve tüketici araçları farklı makineler için farklı ürünlerdir.
Host Güvenlik Duvarları: UFW ve nftables ve firewalld
Host güvenlik duvarı, her zaman ihtiyaç duyduğunuz tek katmandır. Sunucunuzdaki hangi portların bağlantı kabul edeceğini kontrol eder ve yeni bir VPS'te kilitli bir makine ile açık bir makine arasındaki farktır. Ubuntu'da bu güvenlik duvarı genellikle UFW'dir. RHEL ailesi dağıtımlarında firewalld'dir. Debian'da UFW basit bir host güvenlik duvarı frontend'idir, ancak Debian'ın varsayılan ve önerilen güvenlik duvarı çerçevesi nftables'tır.
Üç seçenek, dağıtıma ve ne kadar kontrole ihtiyaç duyduğunuza göre net bir şekilde ayrılır:
| Araç | Dağıtım varsayılanı | Arayüz | Şunlar için ideal | Karmaşıklık |
|---|---|---|---|---|
| UFW | Ubuntu, Debian'da yaygın basit seçenek | CLI | Tek bir VPS, yaygın durum | Düşük |
| firewalld | RHEL, CentOS, AlmaLinux, Rocky | CLI (bölge tabanlı) + systemd | RHEL ailesi sunucular, bölge tabanlı kurallar | Orta |
| nftables | İkisinin de altındaki motor | Yapılandırma dosyası / CLI | Binlerce kural, ince ayarlı kontrol, yüksek verimlilik | Yüksek |
UFW, Ubuntu'nun varsayılan güvenlik duvarı yapılandırma aracıdır ve Debian'da yaygın basit bir tercihtir, ancak Debian'ın varsayılan güvenlik duvarı çerçevesi nftables'tır. Bir VPS için, yalnızca küçük bir izin/reddet kuralları setine ihtiyaç duyduğunuzda UFW hâlâ en kolay başlangıç noktasıdır. CLI, üçünün en basitidir, kurallar yeniden başlatmalar boyunca otomatik olarak kalıcı olur ve birkaç komut çoğu VPS operatörünün ihtiyaç duyduğu her şeyi kapsar. Sınırı gelişmiş kurallardır: karmaşık set tabanlı mantık veya ince ayarlı eşleştirme UFW'de zahmetlidir.
firewalld, RHEL, CentOS, AlmaLinux ve Rocky'de varsayılandır. Bölge tabanlıdır, systemd ile entegre olur ve trafiği arayüze veya güven düzeyine göre bölümlendirmede UFW'den daha yeteneklidir. Bu güç, kurulum süresine mal olur. Bir RHEL ailesi VPS'te iseniz, firewalld zaten oradadır ve en az direnç gösteren yoldur.
nftables, ikisinin de altında yer alan çekirdek düzeyindeki motordur. Gerçekten kural ölçeğine veya hızına ihtiyaç duyduğunuzda doğrudan kullanırsınız: binlerce kural, yüksek performanslı filtreleme veya bir frontend'in sunmadığı kontrol. Şuna göre Better Stack'in UFW ve nftables karşılaştırması, binlerce kural mevcut olduğunda nftables iptables'tan 10 ila 100 kat daha hızlı çalışır. Bu rakam nftables ile iptables karşılaştırmasıdır, UFW ile iptables değil. Bir avuç izin kuralı olan tipik bir VPS için bu farkı hissetmezsiniz ve daha dik öğrenme eğrisi ile kullanıcı dostu bir UI'nin eksikliği ödemeye değmez. Göz önünde bulundurulması gereken bir güvenlik boyutu da vardır: nftables'ta gerçek çekirdek hataları olmuştur, bunlardan biri: CVE-2025-40206, bu yüzden çekirdeğinizi yamalı tutun. Bu, güncel kalmak için bir nedendir, zaten çalıştırdığınız arka uçtan kaçınmak için bir neden değil.
UFW kuralları için nasıl yapılır rehberini istiyorsanız, Cloudzy UFW komut rehberi komutları adım adım ele alır. Bu bölüm, kuralları yazmakla değil, aracı seçmekle ilgilidir.
Profesyonel ipucu: "iptables kullanımdan kaldırıldı" ifadesi yapmanız gereken bir iş olduğu anlamına gelmez. nftables, çekirdek arka ucu olarak iptables'ın yerini aldı ve UFW ile firewalld modern dağıtımlarda zaten nftables üzerinde çalışıyor. Mevcut UFW kurallarınızın yeniden yazılması gerekmez; frontend komutu aynıdır, yalnızca altındaki motor değişti. Ham iptables'tan geliyorsanız ve geçişi anlamak istiyorsanız, Cloudzy iptables kuralları referansı hâlâ geçerlidir, çünkü yazdığınız kurallar yeni arka uca eşlenir.
Bölümün anahtar çıkarımı: Dağıtımınızın normal yolunu kullanın: Ubuntu'da UFW, RHEL ailesinde firewalld ve ne kadar kontrole ihtiyaç duyduğunuza bağlı olarak Debian'da UFW veya doğrudan nftables. Yalnızca gerçekten kural ölçeğine veya hızına ihtiyaç duyduğunuzda doğrudan nftables'a başvurun.
Ağ Güvenlik Duvarı Dağıtımları: OPNsense ve pfSense Nereye Uyar (ve Neden VPS'inizde Değil)
OPNsense, pfSense ve IPFire, tüm bir ağı koruyan özel bir makine veya VM için tam işletim sistemleridir. Korumaya çalıştığınız VPS'te çalıştıracağınız bir şey değildirler. Bilmeye değerler çünkü arama sonuçları bunları önünüze koyacaktır, bu yüzden nereye uydukları ve nereye uymadıkları burada.
Bunu gerçekten ne zaman isteyeceğiniz: özel donanımda veya NIC passthrough'lu bir VM'de, ağınız ile internet arasında yer alan bir homelab veya küçük ofis LAN'ı. İster bir raf dolusu ofis makinesini ister internete açtığınız kişisel bir laboratuvarı koruyor olun, işi yapan kategori budur.
Paylaşımlı bir VPS'te neden yanlış araç olduğu: bu dağıtımlar birden fazla ağ arayüzü arasındaki trafiği kontrol etmeyi bekler. Paylaşımlı bir VPS'te bu, çoğu sağlayıcının sunmadığı NIC passthrough anlamına gelir. Bu olmadan, geçit yapılacak ağı olmayan bir makinede bir ağ geçidi işletim sistemi çalıştırıyorsunuz demektir. Tek bir VPS'iniz varsa, bu kategorinin tamamı yanlış katmandır ve UFW artı bir WAF doğru olanıdır.
2026 itibarıyla üç ücretsiz seçenek, kısaca:
- OPNsense (BSD lisanslı, mevcut kararlı CE serisi: 26.1, 1 Temmuz 2026'da yayımlanan 26.1.11 ile). Tamamen açık kaynak, sık güncellenir ve pfSense ile aynı CE/Plus modeline bölünmemiştir. Bu, özellik katmanı karmaşası olmadan tamamen açık kaynaklı bir güvenlik duvarı dağıtımı isteyen birçok kullanıcı için onu daha temiz bir ücretsiz ağ cihazı tercihi yapar.
- pfSense Community Edition (mevcut CE sürümü: 2.8.1, Eylül 2025'te yayımlandı). Hâlâ ücretsiz ve açık kaynaktır, OPNsense'ten daha büyük bir dokümantasyon ve topluluk kütüphanesine sahiptir. İşin püf noktası CE/Plus ayrımıdır: pfSense CE ücretsiz topluluk ürünü olarak kalır, pfSense Plus ise Netgate cihazları, bulut kurulumları ve üçüncü taraf donanım için ayrı ticari yoldur. Mevcut Plus koşulları için, Netgate'in pfSense Plus sayfasına bakın bir karşılaştırma yazısındaki bir rakama güvenmek yerine.
- IPFire (en son 2.29 Core Update 202, IPFire yayın bloguna göre). Diğer ikisinden daha hafif bir ayak izine ve daha küçük bir topluluğa sahiptir. Daha yalın bir cihaz istediğinizde ve OPNsense'in eklenti genişliğine ihtiyaç duymadığınızda makul bir tercihtir.
Bu özetler mevcut dokümantasyon ve yayın notlarına dayanmaktadır. Gerçek bir ağ için ona güvenmeden önce herhangi bir ağ güvenlik duvarı dağıtımını bir VM'de test edin.
Bölümün anahtar çıkarımı: Korunacak bir ağınız ve yedek bir makineniz varsa, 2026'da ücretsiz tercih OPNsense'tir. Tek bir VPS'iniz varsa, bu kategorinin tamamı yanlış katmandır.
Web Uygulaması Güvenlik Duvarları: SafeLine ve BunkerWeb ve Haltdos
Bir host güvenlik duvarı hangi portların açık olduğunu kontrol eder. Bir WAF farklı bir şey yapar: port tabanlı bir güvenlik duvarının göremediği SQL injection, XSS ve OWASP Top 10'un geri kalanı gibi web katmanı saldırıları için HTTP trafiğini inceler. VPS'inizde bir web uygulaması veya API çalıştırıyorsanız, bir WAF ikinci, tamamlayıcı bir katmandır. Host güvenlik duvarının yerine geçmez; ikisi yığında farklı noktalarda yer alır.
VPS kurulumları için, kaynak ayak iziyle başlayın. RAM bütçenize uyan WAF, genellikle gerçekten çalışır durumda tutabildiğiniz olandır.
| WAF | RAM tabanı | Lisans | Dağıtım | Yönetim Arayüzü |
|---|---|---|---|---|
| SafeLine | 1 GB | GPL-3.0 lisansı | Docker | Web Arayüzü |
| BunkerWeb | 8 GB | AGPLv3 | Docker (NGINX ters proxy) | Web Arayüzü |
| Haltdos Community | 2 GB | Ücretsiz topluluk sürümü | VM, Docker veya donanım | Web Arayüzü |
SafeLine en hafif giriş noktasıdır. GitHub deposu, onu GPL-3.0 lisansı altında kendi kendine barındırılan bir WAF/ters proxy olarak tanımlar. Üçüncü taraf kurulum kapsamı minimumunu 1 CPU çekirdeği, 1 GB RAM ve 5 GB disk olarak, Docker 20.10.14 veya daha yeni ve Docker Compose 2.0.0 veya daha yeni ile listeler. SafeLine, yalnızca geleneksel bir kural listesine dayanmak yerine semantik analiz kullanır, ancak yayımladığı tespit oranı rakamları bağımsız kıyaslama sonuçları yerine proje/satıcı tarafından sağlanan iddialar olarak değerlendirilmelidir. Yalnızca kaynaklar açısından, SafeLine hâlâ küçük VPS tercihidir.
BunkerWeb en fazla özelliğe sahip ve en ağır olanıdır. AGPLv3 altında NGINX tabanlı bir ters proxy WAF'tir, OWASP Core Rule Set ile ModSecurity üzerine inşa edilmiştir. Maliyeti RAM'dir. BunkerWeb'in kendi dokümantasyonu minimum önerilen özellik olarak 2 vCPU ve 8 GB RAM'i, çok sayıda hizmetle üretim için ise 16 GB ile 4 vCPU'yu listeler.
Haltdos Community üçüncü ücretsiz seçenektir. topluluk sürümü sayfası OWASP Top 10 kapsamı, DDoS ve bot koruması, hız sınırlama, yerleşik kurallar ve web tabanlı bir yönetim GUI'si listeler. Dokümantasyonu, minimum gereksinim olarak 2 GB RAM, 60 GB disk ve en az 2 vCPU listeler, VM, Docker veya donanım için kurulum desteğiyle.
SafeLine, BunkerWeb, ve Haltdos hepsi Cloudzy marketplace'inde tek tıkla kurulum olarak mevcuttur ve elle herhangi bir VPS'te de çalışırlar. İster müşteriye dönük bir API'yi ister internete açtığınız kişisel bir hizmeti koruyor olun, katman aynıdır; tercih çoğunlukla ona ne kadar RAM vermeye istekli olduğunuzla ilgilidir.
Bölümün anahtar çıkarımı: Bir WAF, host güvenlik duvarınızdan ayrı bir katmandır. SafeLine en hafif ücretsiz seçenektir; BunkerWeb en fazla özelliğe sahip olanıdır ancak çok daha büyük bir sunucuya ihtiyaç duyar.
Sunucunuza bir WAF'in ait olduğuna karar verdiyseniz, kurulum adımı marketplace'in zaman kazandırabileceği yerdir. SafeLine ve BunkerWeb'in her ikisi de Docker'da çalışır, bu genellikle bir Compose dosyası, ters proxy yapılandırması ve ilk çalıştırma hata ayıklaması anlamına gelir. Cloudzy'nin SafeLine, BunkerWeb ve Haltdos için marketplace seçenekleri ilk kurulum adımını atlayabilir, ancak yine de upstream yönlendirme, DNS, TLS, yanlış pozitif işleme ve host güvenlik duvarı kurallarını yapılandırmanız gerekir. Host güvenlik duvarı katmanının kendisi hafiftir ve genellikle dağıtım paketlerinden edinilebilir; hizmetleri açmadan önce kurulu, yapılandırılmış ve etkinleştirilmiş olduğundan emin olun. Planı WAF'e göre boyutlandırın: SafeLine için 1 GB uygundur, ancak BunkerWeb'in 8 GB'lık tabanı daha büyük bir instance anlamına gelir. Bir WAF'i şuraya kurabilirsiniz: Cloudzy Linux VPS ve host güvenlik duvarınızı aynı makinede çalıştırabilirsiniz.
Bir Docker uyarısı: uygulamanız veya WAF'iniz Docker'da çalışıyorsa, yalnızca UFW'nin her yayımlanan konteyner portunu kontrol ettiğini varsaymayın. Docker kendi güvenlik duvarı kurallarını oluşturur varsayılan olarak, bu yüzden mümkün olduğunda backend konteynerlerini localhost'a veya özel Docker ağlarına bağlayın ve yalnızca gerçekten yayımlamayı düşündüğünüz WAF'e dönük portları açın.
Hem Host Güvenlik Duvarına Hem de Bir WAF'e İhtiyacınız Var mı?
Evet, herkese açık bir web uygulaması çalıştırıyorsanız, farklı katmanları korurlar. Host güvenlik duvarı (UFW veya firewalld) hangi portların açık olduğunu kontrol eder ve her VPS için temel katmandır. Bir WAF, uygulama katmanı saldırıları için o açık portlardan akan HTTP trafiğini inceler. WAF, host güvenlik duvarının yerine geçmez; onun arkasında yer alır.
Host güvenlik duvarı pazarlık konusu değildir. Web uygulaması olsun ya da olmasın, her VPS'in buna ihtiyacı vardır, çünkü internetin geri kalanının hiç açmayı düşünmediğiniz hizmetlere ulaşmasını durduran şey odur. WAF ise koşulludur. Uygulama katmanında saldırıya uğrayabilecek HTTP veya HTTPS trafiği sunduğunuzda ekleyin: herkese açık bir API, bir CMS, web üzerinden kullanıcı girdisi alan herhangi bir şey. Statik bir site veya bir VPN arkasındaki yalnızca dahili bir hizmetin hiç WAF'e ihtiyacı olmayabilir; bu durumda yalnızca host güvenlik duvarı doğru cevaptır ve bir WAF eklemek ihtiyaç duymadığınız bir yüktür. Katmanları bir kontrol listesine değil, gerçekten çalıştırdığınız şeye göre eşleştirin.
Bölümün anahtar çıkarımı: Host güvenlik duvarı her VPS için temel katmandır. Bir web uygulamasını internete açtığınızda bir WAF ekleyin.
Sıkça Sorulan Sorular
iptables Linux'ta Kullanımdan Kaldırıldı mı?
Fiiliyatta, evet. nftables, modern Linux'ta çekirdek paket filtreleme arka ucu olarak iptables'ın yerini aldı. Ancak bu bir arka uç değişikliğidir, harekete geçme çağrısı değil. UFW ve firewalld güncel dağıtımlarda zaten nftables üzerinde çalışıyor ve mevcut UFW kurallarınızın yeniden yazılmasına gerek yok. Frontend komutları değişmedi; yalnızca altlarındaki motor taşındı.
pfSense 2026'da Hâlâ Ücretsiz mi?
Evet. pfSense Community Edition, şu anda 2.8.1, ücretsiz ve açık kaynaktır. İşin püf noktası CE/Plus ayrımıdır: pfSense CE ücretsiz topluluk ürünü olarak kalır, pfSense Plus ise Netgate cihazları, bulut kurulumları ve üçüncü taraf donanım için ayrı ticari yoldur. Mevcut Plus koşulları ve herhangi bir abonelik ücreti için, üçüncü taraf bir karşılaştırmadaki bir rakama güvenmek yerine Netgate'in pfSense Plus sayfasına bakın.
Bir VPS'te pfSense veya OPNsense Çalıştırabilir miyim?
Teknik olarak mümkündür, ancak paylaşımlı bir VPS'te mimari açıdan uygun değildir. Bunlar, birden fazla ağ arayüzü arasındaki trafiği kontrol etmeyi bekleyen ağ geçidi işletim sistemleridir ve bunun için çoğu VPS sağlayıcısının sunmadığı NIC passthrough gerekir. Tek bir VPS'te gerçekten istediğiniz şey bir host güvenlik duvarı (UFW veya firewalld) ve web uygulamaları için bir WAF'tir.
Linux Sunucumda Zaten Bir Güvenlik Duvarı Varsa Bir WAF'e İhtiyacım Var mı?
Farklı katmanları korurlar, bu yüzden ne çalıştırdığınıza bağlıdır. Bir host güvenlik duvarı hangi portların açık olduğunu kontrol eder; bir WAF, SQL injection ve XSS gibi web katmanı saldırıları için bunlardan akan HTTP trafiğini inceler. Herkese açık bir web uygulaması veya API sunuyorsanız, host güvenlik duvarının üzerine bir WAF ekleyin. Yalnızca statik bir site veya dahili bir hizmet çalıştırıyorsanız, tek başına host güvenlik duvarı yeterlidir.
Küçük Bir Linux VPS için En İyi Ücretsiz WAF Hangisidir?
SafeLine, Docker'da çalışan 1 GB RAM minimumuyla en hafif ücretsiz seçenektir ve küçük bir VPS'e uyar. BunkerWeb daha fazla özelliğe sahiptir ancak 8 GB RAM'e ihtiyaç duyar, bu yüzden küçük sunucu kurulumu değildir. Haltdos Community, web UI'ye sahip üçüncü bir ücretsiz seçenektir; sunucunuzu boyutlandırmadan önce mevcut kaynak gereksinimleri için dokümantasyonuna bakın.