Здравствуйте, vsb, Вы писали:

vsb> ... Если надо блокировать на уровне сайтов, надёжно это делать можно только с помощью MITM, для этого надо установить свой доверенный корневой сертификат на клиентские устройства, если это какой-нибудь телевизор, там такого функционала может и не быть.

Хм, а нельзя ли этого же добиться с помощью dns server на gateway? То есть не пытаться прослушать трафик с установкой чего-то вроде squid-as-MITM, а давать "фейковые" ip для блокируемых сайтов?

Т.е. так — предположим условный youtube заблокирован, на gateway установлен bind, который при попытке коннекта клиентское приложение пытается законнектится к youtube дает dns адрес внутреннего сайта отдающего страницу указывающую, что доступ ограничен.