Para acceder a archivos que están fuera del public tienes que indicar la ruta completa.
Aún así no se porque te complicas tanto. Yo pondría los archivos en un directorio del public y dentro un .htaccess con lo siguiente:
Código Apache:
Ver originalorder deny, allow
deny from all
allow from 127.0.0.1