в правиле в поле "Action" ставьте drop, и в позиции интерфейс назначения укажите wan1

и на самый верх его (правило) поднимите

Осмелюсь вмешаться...
Тоже испытал проблему в настройке, в итоге получилось.
Что надо сделать:
Делаем всё по мануалу, кроме: - в поле "сервис" ставим не http, а http-outbound - или тот файл, который вы создали вместо http-outbound (который собственно и содержит адреса блокируемых сайтов).
И ещё, - если в блеклист добавить адрес как в мануале (*.vk.com/*),работать в таком формате он отказывается. Если оставить только vk.com/* , то всё нормально работает.
P.S. Если в поле "действие" поставить DROP, при текущих настройках, рубится весь трафик.

Проверяй IP/макски vk их много, как пример:


vk_com_232 93.186.232.0/21
vk_com_224 93.186.224.0/21
vk_com_143 87.240.143.0/24
vk_com_128 87.240.128.0/18
vk_com_130 185.29.130.0/24
vk_com_248 185.32.248.0/22
vk_com_192 95.142.192.0/20
vk_com_200 95.142.200.0/21
vk_com_201 95.142.201.0/24
vk_com_202 95.142.202.0/24
vk_com_206 95.142.206.0/24
vk_com_017 95.213.0.0/17
vk_com_018 95.213.0.0/18
Но подмечу, даже блокировка по subnet не спасет особо, как только появится новая подсеть vk средиректит, в принципе dlinki не дадут жесткого отсева юзеров, можно по разному изгаляться но все остается по прежнему, в идеале связка squid+iptables и блочить по AS но тут долой gui и познание nix систем , а к примеру блочить тот же adobe еще сложнее, максимум отрезать на уровне каких нить своих DNS на DC или свободных DNS закидываю на 127.0.0.1, но тоже нада все отслеживать.