Es usual, establecer restricciones por host en las aplicaciones de nuestro contenedor Tomcat, como es el caso de las aplicaciones manager o admin. Para ello editamos el contexto de las aplicaciones manager y admin añadiendo <Valve>

$ vim /usr/local/tomcat/conf/Catalina/localhost/admin.xml

      <Context path="/admin" docBase="${catalina.home}/server/webapps/admin"
              debug="0" privileged="true">

       <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/>

       <Logger className="org.apache.catalina.logger.FileLogger"
         prefix="localhost_admin_log." suffix=".txt"
         timestamp="true"/>

      </Context>

donde /usr/local/tomcat es el $CATALINA_HOME.

Para el caso de la aplicación manager:

$ vim /usr/local/tomcat/conf/Catalina/localhost/manager.xml

    <Context path="/manager" docBase="${catalina.home}/server/webapps/manager"
            debug="0" privileged="true">

      <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/>

      <!-- Link to the user database we will get roles from -->
      <ResourceLink name="users" global="UserDatabase" type="org.apache.catalina.UserDatabase"/>

    </Context>

Algunos ejemplos para la propiedad allow:

• allow="128.117.140.62"
• allow="128.117.140.62, 128.117.140.63, 128.117.140.99"
• allow="128.117.140.*"

O bien usando RemoteHostValve para filtrar por host:

    <Valve className="org.apache.catalina.valves.RemoteHostValve" allow="(*.).zylk.net"/>