A ideia surgiu logo depois de postar a pergunta:
acl admins src 192.168.10.29 192.168.10.17
acl localnet src 192.168.10.0/24
http_access allow mediaprr admins
http_reply_access allow media admins
http_access deny mediaprr localnet
http_reply_access deny media localnet
http_access allow localnet
deve permitir que admins
acesse a mídia antes de negar localnet
use a mídia. Testado e trabalhado ...