Hallo Uschi,

ist es möglich, einen Apachen dazu zu bringen, daß er generell
nur Anforderungen, die vom eigenen Rechner kommen, annimmt,

hierzu erst einmal ein "ja":

<Directory />
 order deny,allow
 deny  from all
 allow from [Adresse Deines Rechners]
</Directory>

Zumindest in meinem Netzwerk zählt hierbei die IP-Adresse der Netzwerk-
karte des Rechners, 127.0.0.1 funktioniert bei mir als Client gar nicht.
Bei einem standalone-PC mag das anders sein.

(Ich habe eine Anwendung, wo ich genau das auch brauche: ein Apache-Handler
saugt mit Hilfe von LWP::Simple Dokumente ab und schreibt deren Inhalt on
the fly um - normale Benutzer dürfen aber nicht auf das Original zugreifen
können.)

ohne daß diese Einschränkung in den Virtual Hosts wieder
aufgehoben werden kann?

Wer schreibt denn die Konfigurationen Deiner Virtual Hosts, daß Du dem so
mißtraust? ;-)

Ich habe mal innerhalb eines Virtual Host ein "allow from all" angegeben,
das aber von dem übergeordneten "deny" overruled wurde.

Ich kann Dir aber nicht verbindlich sagen, ob in diesem Fall der Server
den Virtual Host overruled hat oder (wahrscheinlicher) die Prüfungen im
Wurzelverzeichnis beginnen und sich dann immer näher an den vollständigen
Pfad der Zieldatei heran tasten.

Deshalb würde ich im Server das Verbot für "/" aussprechen - egal, wie
Dein DocumentRoot definiert ist. Mehr sperren schadet nie - zumal über
Alias und ScriptAlias ja durchaus Pfade außerhalb des DocumentRoot in
Deinem URL-Baum (insbesondere in einem der Virtual Hosts!) liegen könnte.

Viele Grüße
      Michael
(der Virtual Hosts mangels Übung mit ganz spitzen Fingern anfaßt)