Hi Andreas,

Kann man das eigentlcih auch für interne LAN-IPs begrenzen?
(die erste bezieht sich anscheinend auf den Client,
Kann man so verstehen, muß man aber nicht, ich meinte das ganz allgemein ob man auf einen speziellen virtuellen Host nur Requests aus demselben LAN wie dem Web-Server leitet.

Dazu müßtest Du aber erst mal definieren, was Du unter "demselben LAN" verstehst (und dabei beziehst Du Dich auf eine Menge von durch IP-Adressen beschriebenen Clients, die einen bestimmten Server ansprechen - also nicht auf die IP-Adresse des Servers).
Das Netz innerhalb einer Firma kann beispielsweise aus einer größeren Anzahl von Subnetzen bestehen, die voneinander durch Firewalls getrennt sind ... ist das dann noch "dasselbe LAN" oder nicht?

Und diese Definition müßtest Du dann innerhalb von HTTP umsetzen - was nicht so ganz einfach sein dürfte, weil HTTP die Information der Source-IP-Adresse gar nicht in einem seiner Header überträgt.

Was Du tun kannst, das ist, einen Virtual Host mit Server Authentication zu versehen - dabei kannst Du Räume von IP-Adressen als "legal" bzw. "illegal" klassifizieren (allow/deny from <ip-range>).
"Legale" IP-Adressen werden durchgelassen, "illegale" fallen in den 403-Error-Handler - und der kann diese Requests dann irgendwohin umleiten ... beispielsweise in einen anderen Virtual Host. Reicht das für Deine Anforderung?

Viele Grüße
      Michael