Ich habe eine Anwendung in einen einzelnen Docker-Container gepackt, der einen einzelnen Port öffentlich zum Internet bereitstellt, wo er Verbindungen von einem bekannten Dienst mit einer bekannten und statischen IP-Adresse erwartet.
Da dieser Port oft von irgendwo im Internet aus von nicht autorisierten Benutzern getestet wird, möchte ich Verbindungen zu diesem Port von den bekannten Quelladressen mithilfe einer Netfilter-Regel einschränken.
Der Container selbst ist nur ein Singleton, wird nicht skaliert und hat keine weiteren Abhängigkeiten.
Die Frage ist, soll ich die Firewall-Regeln auf dem Host oder im Container anwenden?