ファイアウォール ルールを Docker ホストまたはコンテナーに適用しますか?

ファイアウォール ルールを Docker ホストまたはコンテナーに適用しますか?

私は、既知の静的 IP アドレスを持つ既知のサービスからの接続を期待する、インターネットに公開される単一のポートを持つ単一の Docker コンテナーにアプリケーションをパッケージ化しました。

このポートはインターネット上のどこかから不正なユーザーによって頻繁に探知されるため、Netfilter ルールを使用して既知の送信元アドレスからの接続を制限したいと思います。

コンテナ自体は単なるシングルトンであり、スケーリングされず、他の依存関係もありません。

質問は、ファイアウォール ルールをホストに適用するべきか、それともコンテナーに適用するべきかということです。

関連情報