Acabei usando o DNSMasq para criar uma lista de permissões. A vantagem disso é que ele funciona bem com HTTP e HTTPS e requer configuração mínima em cada computador - apenas configurando seu servidor DNS para o servidor que está executando o DNSMasq. O DNSMasq está configurado para rejeitar todas as solicitações de DNS, exceto aquelas que foram colocadas na lista de permissões - aquelas que são encaminhadas para o roteador que possui seu próprio servidor DNS.
A desvantagem dessa abordagem é que esse filtro pode ser facilmente substituído por alguém alterando o endereço do servidor DNS, usando um proxy ou indo diretamente para um endereço IP. Na minha candidatura, isso é de baixo risco.
Eu segui este guia para configurar o DNSMasq como whitelist .