Policy routing samozřejmě potřeba je a přemýšlíš o tom dosti chaoticky (PR se používá nejen "from" ale i "to")
Doménu přece můžeš promrskat nějakým skriptem (dig -> grep -> adresy) do ipsetu, a ten zase omarkovat.
A poslední větu jsem už nepochopil vůbec.