Вы теоретически интересуетесь?
Можно нарушить цепочку "имя->IP", подставив вместо нормального IP адрес своего сервера или 127.0.0.1, как это делают провайдеры - проверяют DNS-запрос и в случае запроса закрытого ресурса тупо отдают вместо него адрес сервера с картинкой типа "CENSORED". Путь простой, но эффективный, хотя и обойти его несложно.
Обходится шифрованием DNS-трафика (например, пускаешь его в туннель до VPS в Гейропе)
Можно поставить прокси, на котором будут банится указанные домены. Чтобы успешно банить по https, понадобится бампинг и собственный СA - поэтому обычно этот способ для энтерпрайза. Как правило, если в конторе контролируют тырнет, то есть и средства контроля за обходом ограничений и попытавшись их обойти, можно попасть например на лишение премии :D
Мо;но использовать L3-фильтры - но нужна приличной мощности железяка - при включении L3-фильтра стандартный микротик RB2011 мгновенно захлебывается.
