Cara uma dica de amigo, a forma que estou usando para "bloquear" o facebook aqui na empresa onde trabalho e até agora ninguem descobriu foi criar uma DNS no meu servidor DNS apontando para um IP invalido como 200.200.200.200 ou então 127.0.0.1 (o localhost) de forma que o usuário não consegue acessar a não ser que coloque um DNS de terceiros.
Outra forma é pegando todos os IPs do facebook e bloqueando no firewall, no Endian eu faço essa segunda forma também, porem no Zentyal não fiz pois a lista que eu uso de IPs é grande e por a mascara de rede de alguns está "errada" (não tinha certeza de quais IPs de uma sub rede pertencia a eles, então bloqueava toda a sub rede), o Zentyal sempre diz que a "faixa" já contem IPs na lista e não adiciona.