Empaqueté una aplicación en un único contenedor Docker que expone públicamente un único puerto a Internet, donde espera conexiones de un servicio conocido con una dirección IP estática y conocida.
Como este puerto a menudo es investigado por usuarios no autorizados desde algún lugar de Internet, me gustaría restringir las conexiones a él desde las direcciones de origen conocidas con una regla de Netfilter.
El contenedor en sí es solo un singleton, no se escalará y no tiene otras dependencias.
La pregunta es: ¿debo aplicar las reglas del firewall en el host o en el contenedor?