Однажды на одном из NAT серверов мне понадобилось заблокировать некоторые сайты.
Если сайты находятся на нескольких IP адресах, то необходимо узнать эти диапазоны IP адресов, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes».
Когда сети или хосты известны, добавим в iptables правила для них, например:
/sbin/iptables -A FORWARD -s 87.240.128.0/18 -j DROP /sbin/iptables -A FORWARD -s 95.142.192.0/20 -j DROP
Таким образом, мы запретим прохождение трафика этих сетей через сервер.
Смотрите также мои статьи:
Блокировка социальных сетей на Cisco
Запрет социальных сетей на маршрутизаторах Mikrotik