Я упаковал приложение в один Docker-контейнер, который публично открывает один порт для Интернета, где он ожидает подключений от известной службы с известным и статическим IP-адресом.
Поскольку этот порт часто просматривается неавторизованными пользователями из любой точки Интернета, я хотел бы ограничить подключения к нему с известных адресов источников с помощью правила Netfilter.
Сам контейнер представляет собой синглтон, не масштабируется и не имеет других зависимостей.
Вопрос в том, следует ли применять правила брандмауэра на хосте или в контейнере?