Permitir somente localhost Wildfly

Como é que o site (da máquina do cliente) vai acessar a API se ela não aceita requisições de fora do servidor?

Não funcionaria desta forma (desculpe a ignorância, é uma dúvida mesmo):

Cliente <-> Site.war <-> Back.war

Eu precisaria que somente o Back.war ficasse restrito para localhost, o restante ficaria com acesso total.

Não era pra soar rude, perdão.

Eu não consigo enxergar o funcionamento disso que você quer implementar, um de nós está equivocado. Na minha cabeça isso não funciona, mas caso funcione, quero saber para aprender!

O Site.war tem as páginas HTML com o JavaScript que faz requisições para a API, certo?

Quando o cliente acessa a página do Site.war, o servidor vai mandar para ele o HTML e o JS da página acessada. A partir desse momento, as requisições feitas pelo JavaScript são executadas no browser do cliente e, portanto, com o IP do cliente, fora do localhost do servidor. É o cliente que envia as requisições. O Site.war só serve para armazenar e servir os clientes com HTML e JS. Não é o Site.war que se comunica com o Back.war, mas sim o browser do cliente que se comunica com o Back.war.

Se você quiser que o acesso a Back.war seja restrito, você precisaria ter um sistema em Site.war, alem do conteúdo estático HTML/JS, responsável por repassar as requisições para o Back.war, pelo localhost ou mesmo através de uma VPN em caso de hosts diferentes.

Ao invés disso, você pode simplesmente restringir as requisições implementando uma lógica de segurança para acesso da API em Back.war, seja ela com tokens ou qualquer outro método.

Ok, era mais para encurtar o caminho e também para fazer teste se algo assim funcionaria.