你的原配置方式存在问题，无法生效的原因及替代方案 #

一、原方案为什么不生效？

你通过RemoteAddrValve返回404，再配置error-page跳转的思路有两个关键问题：

1. 文件位置错误：404.html必须放在Tomcat默认根应用的目录下，也就是webapps/ROOT/文件夹里，而不是conf或其他目录。Tomcat的error-page配置是基于Web应用的，默认会从ROOT应用中查找指定的错误页面。
2. Valve的404未触发应用级错误处理：RemoteAddrValve是在Connector层面（请求进入Tomcat的早期阶段）直接返回404响应的，此时请求还没有到达Web应用的处理流程，所以web.xml中的error-page规则不会被触发。

二、更简便的实现方法（按推荐程度排序）

方法1：让Tomcat仅监听本地IP（最推荐）

这是最简单直接的方式，完全切断外部对Tomcat端口的访问，所有外部请求必须通过Nginx反向代理。
修改Tomcatconf/server.xml中的Connector标签，添加address="127.0.0.1"属性：

<Connector port="8080" protocol="HTTP/1.1"
           connectionTimeout="20000"
           redirectPort="8443"
           address="127.0.0.1"/>

重启Tomcat后，它只会响应来自本地127.0.0.1的请求，外部设备访问Tomcat端口（比如8080）会直接连接失败，用户只能通过Nginx的80端口访问你的服务（Nginx配置反向代理到http://127.0.0.1:8080即可）。

方法2：用Windows防火墙限制Tomcat端口的访问（适合不想修改Tomcat配置的情况）

Windows Server 2012的防火墙可以替代Linux的iptables，创建规则仅允许本地IP访问Tomcat端口：

1. 打开「Windows Defender防火墙」→「高级设置」
2. 左侧选择「入站规则」，右侧点击「新建规则」
   • 规则类型选「端口」→ 下一步
   • 选择「TCP」，输入Tomcat的端口（比如8080）→ 下一步
   • 选择「阻止连接」→ 下一步
   • 勾选所有网络类型→ 下一步
   • 命名为「阻止外部访问Tomcat 8080」→ 完成
3. 再新建一条允许本地访问的规则：
   • 同样选「端口」→ TCP 8080→ 选择「允许连接」→ 下一步
   • 在「远程IP地址」中选择「下列IP地址」，添加127.0.0.1和::1→ 下一步
   • 命名为「允许本地访问Tomcat 8080」→ 完成

这样外部请求会被防火墙拦截，只有本地（包括Nginx的反向代理请求）能访问Tomcat。

方法3：用Tomcat的RewriteValve实现重定向（如果需要外部访问Tomcat端口时主动跳转到Nginx）

如果希望外部用户访问Tomcat端口时，自动跳转到Nginx的80端口，可以用RewriteValve：

1. 修改Tomcatconf/server.xml的Host标签，添加RewriteValve：

<Host name="localhost" appBase="webapps"
      unpackWARs="true" autoDeploy="true">
  <Valve className="org.apache.catalina.valves.RewriteValve" />
  <!-- 保留原有的其他Valve和配置 -->
</Host>

2. 在conf/Catalina/localhost/目录下创建rewrite.config文件，添加重定向规则（替换your-domain-or-ip为你的Nginx服务地址）：

# 拒绝非本地IP，重定向到Nginx
RewriteCond %{REMOTE_ADDR} !^127\.0\.0\.1$
RewriteCond %{REMOTE_ADDR} !^::1$
RewriteRule ^(.*)$ http://your-domain-or-ip$1 [R=302,L]

重启Tomcat后，非本地请求访问Tomcat端口会被302重定向到Nginx的地址。

内容的提问来源于stack exchange，提问作者Mickaël P