Eu empacotei um aplicativo em um único contêiner do Docker que expõe publicamente uma única porta à Internet, onde ele espera conexões de um serviço conhecido com um endereço IP bem conhecido e estático.
Como esta porta é frequentemente pesquisada por usuários não autorizados de algum lugar da Internet, eu gostaria de restringir as conexões a ela dos endereços de origem conhecidos com uma regra do Netfilter.
O container em si é apenas um singleton, não será dimensionado e não terá outras dependências.
A pergunta é, devo aplicar as regras de firewall no host ou no container?