Empacotei um aplicativo em um único contêiner Docker que expõe publicamente uma única porta para a Internet, onde espera conexões de um serviço conhecido com um endereço IP estático e conhecido.
Como essa porta é frequentemente investigada por usuários não autorizados de algum lugar na Internet, gostaria de restringir as conexões a ela a partir de endereços de origem conhecidos com uma regra do Netfilter.
O contêiner em si é apenas um singleton, não será dimensionado e não possui outras dependências.
A questão é: devo aplicar as regras de firewall no host ou no contêiner?