Esto depende de su solución de firewall. De lo que estás hablando suena como el Filtrado de Contenido de Capa 7. Esto no es tan común como el filtrado de IP de Capa 3, pero es compatible con algunos firewalls más avanzados.
Para responder a su pregunta de poder diferenciar entre conexiones a la misma IP pero diferentes nombres de host:
Esto es muy fácil de hacer con los sitios web, ya que el nombre de host se transmite en el encabezado HTTP y el firewall puede identificarlo fácilmente. Si desea hacer esto con SSL / TLS, obtendrá un error de certificado a menos que se instale la CA correcta en el cliente, esto se debe a que el firewall debe actuar como Man-In-The-Middle para descifrar, inspeccionar y re -cifrar los datos para ver el nombre de host.
Si deseaba esta funcionalidad para otros servicios, como SSH como sugirió, esto es mucho más complejo. No hay encabezados ni ninguna otra indicación de un nombre de host en muchos otros protocolos, como SSH. Algunos firewalls avanzados pueden ofrecer suficiente flexibilidad de configuración para ayudar a solucionar esto, pero no sería una solución infalible. Es probable que esto se haga en el nivel de DNS y sirva una IP incorrecta para el nombre de host prohibido, o bloquee la IP después de que se realice una solicitud de DNS para el nombre de host prohibido.
Editar : después de volver a leer tu pregunta, no estoy seguro de por qué asumí que estabas hablando sobre el filtro de salida. Si está hablando de filtrado de entrada, entonces el último bit sobre DNS realmente no se aplica.