Мы вот тоже на стороне формального подхода - блокировать пару IP + url из реестра. Если пытаться сделать так, чтобы "мышь не проскочила" - то действительно "не имеем технической возможности", так как https, vpn, proxy, top, и т.д.
Причем на этот подход нас навели не просто наши внутренние раздумья, а встреча с представителями мин. связи накануне вступления в силу закона, с операторами НАДИКС.
Так вот там в вольном пересказе был как раз предложен метод - загоняете по BGP на фильтр те IP, которые в реестре, а уж там фильтруете по URL малую долю трафика, причем только исходящего. Так и делаем. Бегать за DNS не вижу смысла, можно только хуже сделать - проверяющий придет и скажет: "Вот почему тот IP, что в реестре, не заблокирован, и когда я в hosts прописываю, у меня дети голые открываются, что за вольности вы тут себе позволяете, где вы такое вычитали?"
Далее было сказано, что они там в министерстве хотят "оценить" масштабы такого DPI на весь рунет, заказать его разработку, и потом поставить его у себя, подняв со всеми провайдерами BGP...
Но вот что законодатели придумают, когда им доложат про CDN - мне страшно представить. Там видимо по /12 всяких hetzner будем заворачивать на DPI...но пока об этом ТАМ никто не подумал.