Защита от хотлинка делается с помощью internal; и X-Accel-Redirect заголовка от бекенда, пишется простенький скрипт на пхп, который будет вытягивать из УРЛ хеш сравнивать его со своим md5(IP + password) и отдавать/не отдавать нгинксу заголовок X-Accel-Redirect. Не забудьте собрать нгинкс с nginx_mod_realip и поставить модуль к апачи libapache2_mod_rpaf.
Еще есть вариант защиты через crossdomain.xml но он вроде как не эффективный (во всяком случае один из наших клиентов жаловался на это).