Eu tenho um servidor que hospeda o Tomcat para aplicativos e o Apache2 para o frontend. Eles se comunicam entre si através do protocolo ajp nos módulos mod_moxy e proxy_ajp.
Estou realmente seguro usando o apache virtualhosts desta forma:
...
ProxyRequests Off
<Proxy *>
Order deny,allow
Deny from all
Allow from 192.168.0.100
</Proxy>
ProxyPass / ajp://srv.local:8009/
ProxyPassReverse / http://srv.local
...
0,100 é o endereço IP do servidor e atrás da porta 8009 está o conector Tomcat AJP. Eu quero que o Apache corte todas as solicitações de proxy de fora e permita apenas que ele as use para se comunicar com o Tomcat.
Os controles de acesso em um bloco <Proxy> aplicam-se ao local de origem da solicitação, em vez de para onde a solicitação está sendo feita. Enquanto ProxyRequests estiver desativado, as solicitações por meio do proxy nunca serão enviadas para um destino que você não configurou.
Portanto, o seu bloco <Proxy *> pode ser removido sem risco.
Tags security proxy tomcat7 apache-2.2 ajp