я просто загнал в private-address все 5+ тыщ префиксов с типом блокировки "по ip". если там попадется какой-то из полностью заблоченных (например, lcprd1.samsungcloudsolution.net), то клиенту по барабану, сразу оно недоступно из-за отсутствия днс-записей или по таймауту из-за того, что пакеты в нуль смаршрутизированы. зато теперь хоть инструмент диагностики есть - если наш днс возвращает 0 записей, а гуглоднс больше 0, значит ip в блоке. =) ну а частично заблоченные хосты, типа www.google.com, будут работать. автомагически.