將防火牆規則套用至 Docker 主機或容器？

我將一個應用程式打包到一個 Docker 容器中，該容器向互聯網公開公開一個端口，該容器期望來自具有眾所周知的靜態 IP 位址的知名服務的連接。

由於此連接埠經常被來自 Internet 中某處的未經授權的使用者探測，因此我想使用 Netfilter 規則限制從已知來源位址到該連接埠的連線。

容器本身只是一個單例，不會擴展，也沒有其他依賴項。

問題是，我應該在主機上還是在容器中套用防火牆規則？