Наиболее вероятно, что сервер Z имеет доступ к "закрытым" ресурсам, а если клиенты ходят через его прокси, то и ограничивать надо на прокси.
Путей решения два:
1. выключить прокси и запретить доступ к другим серверам DNS (плюсы - всё будет резаться режектором; минусы - не будет возможности следить за клиентским трафиком);
2. запретить и Z ходить на "закрытые" ресурсы перенацеливанием его на режэктора и запретив доступ к другим серверам DNS (плюсы - сохранится возможность контролировать клиентский трафик; минус - для исключения кого-то из клиентов из "ограниченного" списка потребуются нетривиальные действия).
Но против изобретательного пользователя ни что не поможет ;-)