Вот я тоже думаю об этом, если по IP сделать, то точно не вариант. А через HTTP не выйдет, все сайты с HTTPS сейчас. Тогда нужно подмену сертификата делать.
Есть спец платные сервисы с частными днс под ваши фильтры для работы. Там как правило уже учтены cdn в вайтлисте. Всякие DoH фильтруем, а 53 заворачиваем на спец днс. Всё
this. В прошлом году делал подобное на Squid, правда там были виртуалки в облаке для сотрудников конторы, все 3rd party домены 2 недели собирали в боевом режиме.
тебе не придётся посещать пиратские сайты в поисковой выдаче если поисковую выдачу заменить каталогом сайтов из белого списка, одобренного роскомнадзором!