Назад | Перейти на главную страницу

Интерфейс Apache для Tomcat, безопасность прокси

У меня есть сервер, на котором размещен Tomcat для приложений и Apache2 для его интерфейса. Они общаются друг с другом по протоколу ajp через модули mod_moxy и proxy_ajp.

Я действительно могу использовать виртуальные хосты apache в такой форме:

...
        ProxyRequests Off

        <Proxy *>
                Order deny,allow
                Deny from all
                Allow from 192.168.0.100
        </Proxy>

        ProxyPass / ajp://srv.local:8009/
        ProxyPassReverse / http://srv.local
...

0,100 - это IP-адрес сервера, а за портом 8009 находится разъем Tomcat AJP. Я хочу, чтобы Apache отсекал любые запросы прокси извне и позволял только себе использовать его для связи с Tomcat.

Контроль доступа в <Proxy> block применяется к тому, откуда поступает запрос, а не к тому, куда идет запрос. Так долго как ProxyRequests отключен, запросы через прокси-сервер никогда не будут отправлены в пункт назначения, который вы не настраивали.

Так что ваши <Proxy *> блок снимается без риска.