Необходим написать кусок кода .htaccess для сайта www.site.ru находящегося на сервере c ip=xxx.xxx.xxx.xxx, который бы выполнял следующее:
Если переменная окружения REMOTE_ADDR равна адресу xxx.xxx.xxx.xxx и одновременно с этим в переменной HTTP_REFERER отсутствует адрес сайта site.ru, а также HTTP_REFERER не пустой, то тогда сделать форбидден.

Пробовал такую конструкцию. 
RewriteCond %{REMOTE_ADDR} xxx\.xxx\.xxx\.xxx
RewriteCond %{HTTP_REFERER} !^(.*)site.ru(.*)$
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .* – [F]

Не работает а именно выдает форбидден при запросе сайта site.ru напрямую из браузера без перехода со внешнего сайта.

странная задача, а в чём вредоносность переходов заключается ?

Вредоносность переходов заключается в ухудшении поведенческих факторов (уменьшение времени нахождения на странице, глубины просмотра, процента отказов)

теперь понял.

попробуйте последнюю строчку заменить на вот эту 

RewriteRule ^(.*)$ – [F]


а вообще - Вы уверены что на данный момент форбидден при запросе сайта выдается изза вашего правила а не изза того что в нем ошибка ?  
ведь когда в htaccess есть ошибки - apache начинает плюваться 403

В .htaccess все условия сумируются. Тоесть правило rewrite сработает при выполнении всех условий. Как Вы сами понимаете, одновременно HTTP_REFERER не может быть пустым и иметь значение site.ru. Используйте OR после первого превила:



jexerrus,

[F] используется для возврата 403-го кода (Forbidden)

Следующая конструкция тоже является верной: