內建 Container 容器

PaaS 環境可以在使用者網頁介面點選環境設定 -> 防火牆 -> 入境（出站）規則，設定防火牆規則。

每個 Container 在部屬時預設提供一組內網的 IP，

若您在部屬時有增加一組 IPv4 或 IPv6 的公網 IP，

會建議在防火牆設定中設定允許存取的 Port （如：SSH 22）。

因 PaaS 平台的 SSH 連線是透過堡壘機 (Bastion) 進行連線，

且正式環境是不建議將 SSH 服務開放在公網上，

故建議將 SSH 的連線來源改為私有網路即可。

自訂 Container 容器

由於 PaaS 環境不支援自訂 Container 容器的防火牆設定，

所以此部分僅能透過 Container 容器的防火牆（如：iptables）進行設定。

以下使用 Caddy 一套網頁伺服器的容器為例：

預設自訂容器的防火牆規則如下：

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

假設分發到的公網 IP 是 123.123.123.123

iptables -A INPUT -p tcp -d 123.123.123.123 --dport 22 -j REJECT

設定完成後就只能透過 PaaS 平台提供的 SSH 方式進行連線。