将防火墙规则应用于 Docker 主机或容器？

我将应用程序打包到单个 Docker 容器中，该容器向 Internet 公开一个端口，该容器需要来自具有众所周知的静态 IP 地址的众所周知服务的连接。

由于此端口经常被互联网某处的未经授权的用户探测，因此我想使用 Netfilter 规则限制来自已知源地址的连接。

容器本身只是一个单例，不会被扩展，也没有其他依赖项。

问题是，我应该在主机还是容器中应用防火墙规则？