claro pra tudo se tem um geito rs
adiciona esta regra para direcionar todo conteudo para o proxy logo abaixo do redirecionamendo da porta 80 e acima da liberação do nat mascared dos clientes
onde address-list é os clientes boqueados.
add action=redirect chain=dstnat comment="3 Web Proxy todas as portas ether2" disabled=no in-interface=ether2 protocol=tcp src-address-list=bloqueado to-ports=8080
ou vc pode pegar a regra que direciona a porta 80 e colocar no lugar de 80 o direcionamento de todas as portas 0-65535 ou ate mesmo deichar sem preencher que ele direciona tudo
ou ir no filter e dropar os cliente bloqueados.
ou ir em nat e fazer uma regra para a qual o content controle o conteudo do site e de acordo com o conteudo a regra manda o ip do site para address-list e assim podera facilmente sem nem precisar sabe os nomes dos sites.