Poderia tentar:
order deny,allow
allow from 127.0.0.1
deny from all
em um arquivo .htaccess. - Eu uso uma configuração semelhante para permitir que um site externo permita todo o acesso do IP do escritório, mas solicite uma senha de qualquer outro.