Irmãozinho... faz o bloqueio pelo iptables.
Acontece que você nat tudo que for https (porta 443).
Para resolver o seu problema bloqueie no iptables
coloque a regra antes do nat.
iptables -t nat -A PREROUTING -d sitebloquear.com -j DROP
Não importa a porta... não importa de onde vem... se é o site, ele bloqueia.