O Firewall trabalha nas camadas 3 e 4.
Você quer interferir num processo que trabalha na camada 7. Não rola.
Minha sugestão: mude para squid autenticado com WPAD, bloqueie o acesso direto à internet. Assim vc pode tratar os acessos HTTPS dentro do squid.
Outra sugestão... vi recentemente que as versões mais novas do squid têm um esquema que substitui os certificados originais do HTTPS por outro, local, o que permite que o squid transparente possa cachear HTTPS. Vale uma olhada.
Pois é, firewall de pacotes é um pouco limitado, estou pensando em trocar.
Squid autenticado não rola, pois meus usuários são desconhecidos.
WPAD não funciona nesse caso. Já usei e não é legal. Se o cara não tiver marcado "detectar automaticamente as configurações de rede" não vai funcionar, e meus usuários são desconhecidos e aleatórios. Fica inviável.
Fazer um man in the middle com o Squid, vai ficar dando erro de certificado.
Achei que o firewall de pacotes poderia bloquear a cadeia de ips do whatsapp, que ficaria mais fácil.
Mesmo assim, obrigado.