Repaso/actualizo el tema…
1. Las reglas de bloqueo con los alias va bien tenerlas si tienes detectados los juegos de IPs de cada servicio. Pero NO son imprescindibles.
2. Tus reglas están permitiendo salir directamente hacia internet sin pasar por proxy, a menos que tengas proxy transparente. Y si tienes proxy transparente debería ser squid 3.x con intercepción SSL a fin de poder filtrar los destinos TCP 443 (https).
3. Para los servicios de correo externos crea alias con los nombres de los servidores de correo empleados y autoriza sólo esos destinos. Dejar ir a todo el mundo hacia cualquier SMTP, POP3, IMAP es un importante agujero de seguridad. No recuerdo si UltraSurf explota eso, pero lo puede hacer cualquier virus que convierta un equipo en spammer.
4. Innecesario y no recomendable que tus clientes vayan fuera a resolver. UDP 53 no debería estar autorizado. pfSense hace de DNS. A partir de pfSense 2.2.x, con DNS Resolver (unbound) por defecto. Antes, con DNS Forwarder (dnsmasq). Si tu red es grande. monta un segundo DNS local. Más seguridad y más eficiencia resolviendo localmente, pues tendrás tu propia caché DNS.
5. Modos de trabajo del proxy squid
5.1. No transparente. Los navegadores "conocen" la presencia del proxy. El proxy "sabe" qué URLs se piden, tanto en modo http como en modo https (seguro). En LAN no debe haber reglas que permitan destinos TCP 80, 443 y http alternativos (8000-8100).
5.2. Transparente. Los navegadores "desconocen" la presencia del proxy. El proxy "no sabe" qué URLs se piden en modo https (seguro). La navegación http es enviada automáticamente al proxy. Las reglas en LAN para http carecen de sentido, pues el reenvío es incondicional.
5.3. Transparente con intercepción SSL (SSL Bump). Lo mismo que en modo Transparente (5.2.) pero también para https. Obliga a instalar certificados en los navegadores de los clientes. Necesita squid 3.x.
6. Reglas squidGuard (filtro avanzado para squid)
6.1. Denegar por nombre todos los dominios afectados: facebook.com facebook.net ultrasurf.us ultrasurf.es ultrasurf.com ultrasurf.org ultrasurf.net
Veo que son muchos. Esto te lo puedes saltar y denegar por palabra (6.2.)
6.2. Denegar por palabra: facebook ultrasurf proxy
6.3. Activar !in_addr. Esto tiene algunos efectos colaterales. Por ejemplo, los adjuntos de hotmail.com. Desgraciadamente Microsoft no usa nombres DNS para eso, si no ha cambiado.
Creo que no me he dejado nada. Eso es lo que tengo en una instalación donde UltraSurf no pasa. En ella tengo proxy NO transparente con squidGuard.