Vous avez eu du mal avec "Order Allow,Deny" mais avez fini pas comprendre… on oubli et on recommence.
Pour ma part, je distingue deux cas de figure:
Le fichier .htaccess est un incontournable de la chaîne de sécurisation d'un site/service web
Contrôle d'accès d'un site web
On ouvre par défaut et on interdit ici ou là:
<RequireAll> Require all granted # ip (v4 ou v6) à exclure: Require not ip <adresse_ip> # domaine ou machine à exclure: Require not host mechant.fr </Require>
Contrôle d'accès d'un site intranet
On ferme pas défaut et on ouvre qu'aux autorisés:
<RequireAll>
<RequireAny> # ip ou plage d'ip (v4 ou v6) à autoriser: Require ip <adresse_ip> # domaine ou machine à autoriser: Require host touticphoto.fr
</RequireAny>
# ip (v4 ou v6) à exclure:
Require not ip <adresse_ip>
# domaine ou machine à exclure:
Require not host mechant.fr </Require>
Plus d'informations sur :
https://httpd.apache.org/docs/2.4/fr/mod/mod_authz_core.html#logic