вобщем, прблема решена.
RewriteCond %(REQUEST_URI) .*
RewriteRule .+ $0 [env=ALLOW_IT:no]
RewriteCond %{REQUEST_URI} \.png
RewriteRule .+ $0 [env=ALLOW_IT:yes]
RewriteCond %{QUERY_STRING} token=1
RewriteRule .+ $0 [env=ALLOW_IT:yes]
RewriteCond %{QUERY_STRING} token=2
RewriteRule .+ $0 [env=ALLOW_IT:yes]
RewriteCond %{ENV:ALLOW_IT} no
RewriteRule ^(.*) - [F]
во превых, была путаница QUERY_STRING и REQUEST_URI, ну и для сопоставления с любым REQUEST_URI одной точки мало, надо
.* чтоб с пустой строкой сопоставилось.