Ich versuch das so:

deny from all
allow from 90.82.22. 90.82.17.
require valid-user

Aber das mit den Usern haut nicht hin. Vielleicht könnt Ihr mir ja helfen.

Ich habe schon den Eindruck, Du erlaubst allen von Dir definierten Benutzern den Zugriff.
Aber wo ist diese Definition dieser Benutzer?

Schau Dir mal in http://www.teamone.de/selfaktuell/schroepl01.htm an, was ich gemacht habe - vielleicht deckt das Deinen Fall ab.