Configure uma zona autorativa para facebook.com na ligação e defina 127.0.0.1 como o registro A:
$TTL 86400
@ IN SOA ns1.facebook.com. admin.example.com. (
2017122701 ; serial number YYMMDDNN
28800 ; Refresh
7200 ; Retry
864000 ; Expire
86400 ; Min TTL
)
NS ns1.facebook.com.
NS ns2.facebook.com.
$ORIGIN facebook.com.
facebook.com IN A 127.0.0.1
wwww IN A 127.0.0.1
Mas não vai funcionar. O Facebook usa o pré-carregamento de HSTS em todos os principais navegadores, portanto, os navegadores esperam que o Facebook tenha um certificado válido e esteja disponível por TLS. Você provavelmente não conseguirá um certificado válido para o facebook.
Se você quiser bloquear o facebook, é melhor usar um NXDOMAIN (No such domain) da Bind, e possivelmente bloqueá-lo usando o Squid ou algum outro proxy (transparente). Sim; Um proxy pode bloquear uma conexão TLS com base no nome do host, mas não com base no conteúdo.
Além disso, acho que essa é uma pergunta X-Y . Você provavelmente obterá melhores respostas se disser o que deseja alcançar.