Извиняюсь за несообразительность, но нельзя-ли с примером сразу.
Вот к примеру, если имеем

Uri /mmm1/* | VirtualRoot: D:\CP\Folder1\
Uri CP/mmm1/* | VirtualRoot: D:\CP\Folder1\
Uri /mmm2/* | VirtualRoot: D:\CP\Folder2\
Uri CP/mmm2/* | VirtualRoot: D:\CP\Folder2\
Uri /CP/ | DocumentRoot: D:\CP\ Replace /

...то — как будет выглядеть запись с ограничением по IP для /mmm2/?

и вообще, где можно прочитать поподробней про синтаксис CustomOnRequest.rules.txt
естественно с коментариями. А то, извиняюсь, тёмный лес получается. И каждый — кому надо чуть в сторону от WWWroot чудим кто-во-что горазд.

Итого пробуем нарисовать по подобию:

Uri /mmm1/* | VirtualRoot: D:\CP\Folder1\
[IF]
    PeerIP:Mask= 192.168.100.0:255.255.255.0 0= | Forbidden \EOF
    VirtualRoot: D:\CP\Folder1\
[THEN]
Uri CP/mmm1/* | VirtualRoot: D:\CP\Folder1\
[IF]
    PeerIP:Mask= 192.168.100.0:255.255.255.0 0= | Forbidden \EOF
    VirtualRoot: D:\CP\Folder1\
[THEN]
Uri /mmm2/* | VirtualRoot: D:\CP\Folder2\
[IF]
    PeerIP:Mask= 192.168.200.0:255.255.255.0 0= | Forbidden \EOF
    VirtualRoot: D:\CP\Folder2\
[THEN]
Uri CP/mmm2/* | VirtualRoot: D:\CP\Folder2\
[IF]
    PeerIP:Mask= 192.168.200.0:255.255.255.0 0= | Forbidden \EOF
    VirtualRoot: D:\CP\Folder2\
[THEN]

• вроде работает. С разных сетей теперь без запросов паролей могут заходить в свои папки и "не заходить" в чужие.

Теперь следующий вопрос: а если клиентов (подсетей) нн-ое количество. Как их развести в эти два разных ресурса? Причём желательно чтобы при попадании в "чужой" ресурс клиент получал в ответ не Forbidden, какую-нить служебную страницу. На худой конец перенаправление на wwwroot.
Или для каждой подсети полностью описывать по схеме
Uri...Virtual...[IF]...[THEN]?

И ещё: когда в начале строки стоит \ это значит что правило в этой строке отключено?