Hola ppkapo y lem13631363:
La mejor solucion en vuestro caso (entiendo que usais proxy transparente) es instalar (si no lo teneis hecho) el modulo de DNS y configurar en el servidor DNS un dominio facebook.com, apuntando hacia una IP ficticia.
Asi cuando los usuarios consulten a vuestro DNS por facebook.com, facilitará dicha IP ficticia (y no podrian acceder)
Una vez hecho, para mayor seguridad habilitad el proxy cache transparente (de modo que aunque intenten consultar a otro DNS la consulta la hagan realmente al servidor DNS de Zentyal
Un saludo