Защита местоположения по IP при применении базовой аутентификации везде

Я хочу добиться следующих результатов:

• Применяйте базовую аутентификацию к ЛЮБОЙ локации, файлу, пути
• Удаление базовой аутентификации для белого списка диапазонов IP / CIDR
• Запретить ВСЕЙ доступ к определенному каталогу и всему, что находится под ним, для всех, кроме одного IP-адреса (включая указанный выше)

Это конфигурация nginx, которую я использую:

server {
    listen 80 default;

    # Basic auth
    auth_basic "Restricted";
    auth_basic_user_file /etc/nginx/.htpasswd;

    satisfy any;
    # IP whitelist
    include /etc/nginx/conf.d/ip-whitelist.conf.include;
    deny all;

    # Lock down the "hello" directory to specific IP addresses
    location /hello/ {
        # Developers only - ever!
        allow 12.34.56.78;
        deny all;
    }
    # ...
}

Что происходит в данный момент, так это то, что пункты один и два в маркированном списке выше работают - то есть любой IP-адрес в белом списке не имеет базовой аутентификации на сайте, но если IP-адрес не включен в белый список, им предлагается выполнить базовую аутентификацию.

Однако блок местоположения для "hello", похоже, не работает и по-прежнему допускает те же условия, что и выше, для всего в каталоге "hello", например если я попытаюсь получить доступ /hello/world.php с IP-адреса из белого списка он обслуживается. Если я обращаюсь к нему с IP-адреса, не внесенного в белый список, я получаю базовую аутентификацию.

Я хочу запретить доступ к каталогу "hello" для всех, кроме IP 12.34.56.78 (пример).

Что мне нужно изменить?