Não encontrei formas de fazer Squid/proxy transparente bloquear o HTTPS/443 sem "pirar" os certificados.

Tentei então, bloquear via IPtables o endereço facebook.com, no entanto, ele acabou bloqueando junto, muitas páginas que possuem: "eu curto" - do Facebook (blogs, g1.com, r7.com, ufsc.br, etc), que existe na maioria das páginas.

Implementando bloqueio

Em artigos diferentes, encontrei a solução ideal para o bloqueio via IPtables sem bloquear as páginas, usando o módulo string e o módulo time.

Tudo que era pela porta 80/HTTP, usei o Squid/SquidGuard normalmente, e para bloquear a porta 443/HTTPS das páginas facebook.com, orkut.com e youtube.com, eu usei os comandos abaixo.

Bloqueio do Facebook das: 07:30 às 11:45, e das: 13:30 às 17:45:

# iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "facebook.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

Bloqueio do Orkut das: 07:30 às 11:45, e das: 13:30 às 17:45:

# iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "orkut.com" -m time --timestart 07:30 --timestop 11:45 - j DROP
# iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "orkut.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "orkut.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "orkut.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

Bloqueio do YouTube das: 07:30 às 11:45, e das: 13:30 às 17:45:

# iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "youtube.com" -m time --timestart 07:30 --timestop 11:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --dport 443 -m string --algo bm --string "youtube.com" -m time --timestart 13:30 --timestop 17:45 -j DROP
# iptables -t filter -I FORWARD -p tcp --sport 443 -m string --algo bm --string "youtube.com" -m time --timestart 13:30 --timestop 17:45 -j DROP

Como funciona o bloqueio

O firewall abre todos os pacotes e procura a string (ex.: facebook.com), e quando encontra dentro do determinado horário, ele o descarta.

Nesta forma, são apenas os pacotes que contém determinada string que são descartados, assim, todos os sites que possuem o botão "eu curto" abrem normalmente.

Se você também tentar bloquear via IPtables os pacotes com a string "facebook.com" que são direcionadas para a porta 80, fará com que o firewall bloqueie a maioria das páginas integralmente.

Deixe que o Squid filtre a porta 80. Use esta regra apenas para o 443.

Ao tentar abrir o facebook.com com HTTPS na frente com este bloqueio, no navegador não irá aparecer a tela de bloqueio como ocorre com o Squid, vai dar apenas "time out" ou "página não encontrada".

Espero ter ajudados vocês, porque eu "pastei" muito até achar esta solução.