ルータでのアクセス制限はできないらしいので、tomcat 側で何とかするしかなさそうだ。
実際にやりたいアクセス制限は tomcat 側の話なので apache2 は関係ないんだけど、apache2 のドキュメントを読んでいたらこんな記述があった。

Apache のデフォルトでは へのアクセスは Allow from All になっていることに注意してください。 これは、URL からマップされたどのファイルでも Apache は送るということです。 これは以下のようにして変更することが推奨されています。

<Directory />
    Order Deny,Allow
    Deny from All
</Directory>

たぶん、多くの人がデフォルトのまま使ってるんだろうな、とか思いつつ。公開しようとしているサーバの設定を見たら、確かにデフォルトのままの Allow from All になっていたのでさっそく修正して再起動。