De qualquer forma, vou responder sua pergunta:

Quando um cara faz o ping, antes de qualquer coisa, o programa 'ping' faz uma consulta DNS. Se o cliente pode fazer consulta DNS, logo ele pode receber o IP de qualquer coisa, qualquer host que exista na internet.

Realmente, você repara isso com um link DSL, pelo menos da velox, mesmo antes de autenticar para navegação, você consegue resolver qualquer HOST para IP no mundo. www.uol.com.br, www.altavista.com, etc, sem ter autenticado para sua navegação. Você só não vai conseguir resposta de navegação, mas o IP que você quiser você pode resolver sem estar autenticado, pelo menos no velox. Bem parecida com a situação que você passou.

Se fosse para manter a configuração e não permitir que os usuários resolvessem DNS, desativando de vez o ping, bastaria você desconfigurar o servidor DNS nas máquinas dos clientes, ou aplicar um filtro UDP e TCP para qualquer IP na porta 53: pelo prompt do DOS o cliente não ia conseguir resolver o host para IP e portanto não descobrir os IPs; e pelo navegador, desde que esteja -configurado- para usar servidor proxy, não haveria necessidade de -o cliente- fazer as resoluções DNS dos sites que ele tentasse abrir -- ele manda o www.site.suf.cy para o squid, e ele, o squid, trata de resolver DNS para o host. Se for o caso do proxy transparente esse 'dns pelo squid' não acontece.

Sei que não ajudei nada, mas esclarece pelo menos um pouco de uma outra solução para seu problema.