Na verdade, o Varnish trata o client.ip como um tipo de dados diferente e, portanto, você pode usar as ACLs contra esse valor. Isso não funciona com valores de texto como req.http.ClientIP (ou todos os parâmetros req.http. *). Portanto, um regex com esse valor de texto parece ser uma boa solução.
Como alternativa, você pode usar um módulo específico para definir o client.ip. Eu encontrei isso por exemplo: link