A seção do manual do Apache em mod_authz_host é instrutiva aqui. A ordem de suas declarações de permissão e negação não importa. Com order allow,deny
, você deve corresponder a pelo menos uma permissão e nenhuma diretiva de negação para que sua solicitação seja aceita. Eu acho que você quer order deny,allow
.