Esta correto Magun! Quando você adiciona uma regra de iptables a um domínio geralmente vão ser criadas muitas outras regras! A maneira correta de se bloquear sites é no proxy mesmo!

E isso do DNAT eu uso aqui na minha rede e funciona muito bem! Hehehe

Falowww!!