Olá,
Eu uso esse tipo de regra e funciona bem.
o acl que voce esta usando é esse, só que eu uso tambem o -i e no arquivo que voce colocando os tipos de extensão eu uso assim;

.exe$
.zip$
.mp3$

Voce só tem que observar se a regra
http_access deny download está abaixo da ex: http_access allow rede_interna

Eu não estava conseguindo, mas quando coloquei a regra que nega pra cima ficou belezinha.

Abraço

--
RL