Se não me engano ficaria assim:
Em FILTERS, no firewall vc deve ter uma regra assim:
Código :
chain=output src-address="IP DO CLIENT PARA O BLOQUEIO" dst-address="IP DO SITE PARA BLOQUEIO" protocol=tcp action=reject reject-with=icmp-network-unreachable