【Tomcat】Tomcat端口仅允许本地访问设置方法

要设置Tomcat端口仅允许本地访问，可以通过以下两种主要方式实现：

方法一：修改Tomcat配置文件（推荐）

1. 修改 server.xml 文件
   打开Tomcat的配置文件 conf/server.xml，找到 <Connector> 标签（通常是HTTP或AJP协议的端口配置）。
   添加或修改 address 属性为 127.0.0.1，表示仅绑定到本地回环接口（localhost）。

   <Connector port="8080" protocol="HTTP/1.1"
              address="127.0.0.1"
              connectionTimeout="20000"
              redirectPort="8443" />
   

   • 关键参数：address="127.0.0.1"
     这会强制Tomcat仅监听本地请求，外部网络无法直接访问此端口。

2. 重启Tomcat服务
   保存文件后，重启Tomcat使配置生效：

   ./bin/shutdown.sh && ./bin/startup.sh  # Linux
   # 或
   ./bin/shutdown.bat && ./bin/startup.bat  # Windows
   

方法二：通过防火墙配置

如果无法直接修改Tomcat配置，可以通过系统防火墙限制端口的访问范围（以Linux为例）：

1. 使用 iptables 限制访问
   仅允许本地（127.0.0.1）访问Tomcat端口（例如8080）：

   # 清空旧规则（谨慎操作）
   iptables -F
   
   # 允许本地访问8080
   iptables -A INPUT -p tcp -s 127.0.0.1 --dport 8080 -j ACCEPT
   
   # 拒绝其他IP访问8080
   iptables -A INPUT -p tcp --dport 8080 -j DROP
   
   # 保存规则（根据系统选择命令）
   service iptables save  # CentOS 6
   iptables-save > /etc/sysconfig/iptables  # CentOS 7+
   

2. 使用 firewalld（适用于CentOS/RHEL 7+）

   firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="8080" accept'
   firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" port protocol="tcp" port="8080" reject'
   firewall-cmd --reload
   

验证配置

1. 本地访问测试
   在服务器本地执行：

   curl http://localhost:8080
   

   应正常返回Tomcat欢迎页面。

2. 外部访问测试
   从另一台机器尝试访问：

   curl http://<服务器IP>:8080
   

   应返回连接超时或被拒绝。

注意事项

• 反向代理场景：如果Tomcat通过Nginx/Apache等反向代理暴露服务，需确保代理服务器也仅监听本地（例如Nginx配置中 listen 127.0.0.1:80）。
• 多网卡环境：若服务器有多个IP地址，需确保防火墙规则正确覆盖所有网络接口。
• 安全性增强：建议同时禁用不必要的Tomcat管理页面（如通过conf/tomcat-users.xml配置权限）。

通过上述任一方法，即可确保Tomcat端口仅对本地开放，增强服务安全性。