O Apache 2.4 quer que eu decida: Exigir um IP válido ou um usuário válido

O Apache 2.4 parece misturar tudo: a negação de IP e a negação do usuário não estão mais funcionando de forma independente.

Nas versões mais antigas consigo habilitar as duas coisas, e trabalhar com isso sem que uma afete a outra, por exemplo:

deny from all
allow from ip1
allow from ip2

No apache2.4 o equivalente é:

require ip1
require ip2

Até este ponto, tudo é bom.

Mas quando você tem htacess+htpasswd em seu site, o comportamento não é o esperado porque ele pensa que os ips necessários são confiáveis ​​para entrar sem senha, anulando o .htaccess, e pior ainda, ips fora da lista desejada são capazes graças .htaccessa tente fazer login com uma senha e não é isso que o Apache 2.2 faz!

No antigo Apache, os hosts com permissão são os únicos que podem tentar autenticar... e mesmo que sejam permitidos, ainda será necessária uma senha .htaccesspara abrir o site.

Eu sou capaz de contornar o comportamento usando o mod_acess_compat por enquanto... mas acho que isso não é uma solução, pois estou usando os comandos antigos no Apache 2.4... e estou com medo de algum comportamento inesperado ou a depreciação de este módulo...