Пару вопросов по iptables

iptables не знает про доменные имена.

Но он может их резолвить. Правда, это очень не рекомендуется, т.к резолвинг осуществляется только при старте фаерволла и не обновляется более.

На ум приходит только запрет соединения по указанному домену без прокси:

iptables -A OUTPUT -s x.x.x.x -d vk.com -j ACCEPT
iptables -A OUTPUT -d vk.com -j DROP

Где x.x.x.x - выходной адрес прокси. Но такой вариант с доменами крайне не рекомендуется.

Какая задача перед вами стоит?

Возможно такое запилить на iptables?

Нет, поскольку, это пользовательский интерфейс к *пакетному* фильтру, а имя хоста назначения на пакетах не пишется, оно записано (а возможно, и *зашифровано*) внутри одного из них.

Но он может их резолвить. Правда, это очень не рекомендуется...

Кем это оно «не рекомендуется» — поподробнее, пожалуйста?

Оно не имеет никакого отношения к вопросу — это да, а «не рекомендуется» еще почему?

http://support.qbpro.ru/index.php?title=Iptables_учебник

Подзаголовок «Критерии/Универсальные критерии»:

«Настойчиво не рекомендуется использовать доменные имена, для разрешения (резольва) которых требуются DNS-запросы, так как на этапе конфигурирования фаервола DNS может работать некорректно. Также, заметим, имена резольвятся всего один раз — при добавлении правила в цепочку. Впоследствии соответствующий этому имени IP-адрес может измениться, но на уже записанные правила это никак не повлияет (в них останется старый адрес). Если указать доменное имя, которое резольвится в несколько IP-адресов, то для каждого адреса будет добавлено отдельное правило (как и в случае перечисления нескольких адресов, см. выше). »