Hola
Podrías instalar otro computador con Linux y DNSMasq (También podría ser otro pfsense o un router con DD-WRT). Este equipo tendría que quedar conectado también a la WAN de respaldo con una segunda IP, en paralelo a tu PFSense.
Luego configuras DNSMasq para que use los DNS que usa tu PFSense en la WAN de respaldo pero le sobrescribes los dominios de Facebook y Youtube para que apunten a un servidor DNS falso.
Lo último sería usar la IP de este nuevo computador como servidor DNS de la WAN de respaldo en tu PFSense.
Ejemplo de configuración de dnsmasq.conf (127.0.4.1 es nuestra IP falsa):
listen-address=127.0.0.1
resolv-file=/etc/resolv.dnsmasq.conf
server=/youtube.com/127.0.4.1
server=/facebook.com/127.0.4.1
El archivo /etc/resolv.dnsmasq.conf tendría que contener tus DNS originales (Acá uso los de Google):
nameserver 8.8.8.8
nameserver 8.8.2.2
Creo que es lo más simple. Otras alternativas serían poner 2 servidores proxy con SquidGuard o crear sendas reglas en la WAN de respaldo bloqueando todas las IPs de Youtube y Facebook, esto último no es muy practico porque esas IPs van cambiando.