Vaily

Наверно это не вариант. Взяла скобки чтобы не заморачиваться с поисковиками(доменными зонами) и их сервисами. Чтобы было просто (yandex|google)

Вроде разобралась, так сделать нельзя.

Тогда вопрос, как прописать через регулярку основной домен и его поддомены для следующей конструкции:

valid_referers none blocked server_names ~(*.mysite.com|...anothersites.com);

*.mysite.com - такой вариант(с маской) вызывает ошибку. Может неправильно прописала, может нужно было экранировать...

Наверно я не правильно сформулировала. Файл в котором работаю - это файл ПУ сервера(шаблон).
server {
    listen      %ip%:%proxy_ssl_port% ssl http2;
    server_name %domain_idn% %alias_idn%;

и

%domain%.error.log

То есть, судя по записям %domain_idn%, %alias_idn% и %domain%  - шаблон знает имена доменов на сервере. 

Как я это понимаю, вначале шаблон формирует правила и затем их отрабатывает Nginx (Proxy) .

Строка

valid_referers none blocked server_names ~(mysite1.ru|mysite2.ru|anothersite.ru|... 

где mysite1.ru|mysite2.ru - это мои домены на сервере

Есть ли переменная отвечающая за имена доменов на сервере. Чтобы каждый раз не вписывать вручную свой новый домен.
например так

valid_referers none blocked server_names ~($MySitesOnServer|anothersite.ru|...

Тоже так считаю.  Спасибо за совет!

А может лучше так, вместо исключений из правила ограничения 

valid_referers none blocked server_names ~(vash-site|yandex|google|...)

сделать ограничение для конкретных сайтов. То есть подключение разрешено всем, кроме нежелательных.

Поделитесь опытом из своей практики, как лучше организовать защиту.

Обычный сайт.
Дело в том, что есть сайты которые подключаются к моим стилевым файлам (css) и изображениям. Хочется ограничить таким сайтам эту возможность.

Другая причина, как оказалось. Помог вариант предложенный livetv. 

Ребята, спасибо за вашу помощь и уделенное время!