блокировать все рефереры не от вашего сайта, конечно, не очень хорошо.
решение в лоб:
1. создаёте полный дубль вашего основного location (там где происходит обработка php или что у вас там), называете его как хотите.
2. в этот дубль добавляете единственное отличие — ставите туда limit_req (limit_req_zone настраиваете по вкусу).
3. в секцию server добавляете внутренний(!) редирект на дублированный location если реферер не ваш.
4. profit!