Ainda faz sentido colocar algumas regras de entrada dentro de sua instância do docker para ajudar a evitar ataques, mas você terá que limitar o acesso de saída (Internet) de qualquer roteador upstream com o qual a imagem do docker se conecte. A razão para isso é que, se você tentar bloquear o acesso de saída com as regras de firewall dentro de sua instância, se a instância for comprometida, essas regras poderão ser removidas pelo invasor. Ao bloquear a saída por meio do roteador da instância, você bloqueia o acesso de saída mesmo em caso de comprometimento - o invasor também teria que comprometer o roteador.
Ok, então depois de receber alguns comentários que explicam que a filtragem foi feita para o host do contêiner, é um pouco mais claro o que está tentando ser realizado. Nesse caso, no host, você adicionaria algumas regras semelhantes a esta:
iptables -A FORWARD -s lo.cal.sub.net -d con.tai.ner.ip -j ACCEPT
iptables -A FORWARD -s con.tai.ner.ip -d lo.cal.sub.net -j ACCEPT
iptables -A FORWARD -s ! lo.cal.sub.net -d con.tai.ner.ip -p tcp --dport sftp -j ACCEPT
iptables -A FORWARD -s con.tai.ner.ip -d ! lo.cal.sub.net -p tcp --sport sftp -j ACCEPT
iptables -A FORWARD -s con.tai.ner.ip -m state --state related,established -j ACCEPT
iptables -A FORWARD -s con.tai.ner.ip -j DROP
As duas primeiras regras são para acesso entre o host e o container. A terceira regra diz (mais ou menos) que qualquer coisa que não seja a sub-rede do host para SFTP é OK por nós; a quarta é a regra de saída que é basicamente uma gêmea para a terceira; a quinta regra é um pega-tudo (caso haja outras portas relacionadas que sejam usadas), embora não devesse ser necessário, você provavelmente poderia removê-la; a última regra é a mágica que impede o acesso a qualquer coisa que não seja a sub-rede do host. Como o acesso é dado nas primeiras regras, ele nunca será acionado a menos que nenhuma das regras anteriores se aplique. Nesse caso, estamos dizendo "não nos importamos com o que você quer, você não corresponde a nada que seja aprovado para você". então você não pode chegar lá a partir daqui ". O tráfego de entrada do exterior será satisfeito pela 3ª e 4ª regras.