Имеется маршрутизатор Cisco 871 c IOS C870-ADVIPSERVICESK9-M, Version 12.4(15)T4
Задача:
выпустить всех юзеров в сеть Интернет через NAT, и блокировать им некоторые сайты непосредственно на Cisco без использования внешних серверов по фильтрации URL.
Для фильтрации Http-трафика используется Zone-Based Policy Firewall c Http Application Inspection (http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...)  
Проблема :
при включении так называемой "Deep packet inspection" включается обрезка не только тех URL-адресов, которые я зарезал, но таже попутно и зарезается www.mail.ru и www.yandex.ru
Несколько дней танцевал с бубном - пробовал по-разному конфигурить полиси мап для zone-pair, даже принудительно прописывать на разрешение www.mail.ru и www.yandex.ru (белый лист) - ничего не помогает!
Помогите разобраться!
Может надо копать не в настройках самого ZBPFW - а где-то еще!?

Вот весь незамысловатый конфиг (урезано почти все что можно для отладки этой ошибки)-
- все как по инструкции (http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...) :
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname MainOff
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$nN04$W2YQs50ixqVLsmGct80C40
!
no aaa new-model
!
ip cef
!
ip domain name domen.ru
ip name-server xxx.xxx.xxx.xxx
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
parameter-map type regex block_url
pattern \.farpost\.ru
!
username test privilege 15 secret 5 $1$LIqF$RChmA1F23IAbJXsjhOYxG/
!
archive
log config
  hidekeys
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all all-private
match access-group name users_http_deny_sites
match protocol http
class-map type inspect http match-any http-l7-cmap
match  request header regex block_url
class-map type inspect match-any dns_and_other
match protocol dns
match protocol telnet
!
policy-map type inspect http http-l7-pmap
class type inspect http http-l7-cmap
  reset
class class-default
policy-map type inspect priv-pub-pmap
class type inspect dns_and_other
  inspect
class type inspect all-private
  inspect
  service-policy http http-l7-pmap
class class-default
!
zone security safe
zone security hostile
zone-pair security safe-hostile source safe destination hostile
service-policy type inspect priv-pub-pmap
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address FFF.SSS.EEE.KKK 255.255.255.224
ip nat outside
ip virtual-reassembly
zone-member security hostile
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.1.232 255.255.255.0
ip nat inside
ip virtual-reassembly
zone-member security safe
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 XXX.EEE.WWW.BBB
!
!
no ip http server
no ip http secure-server
ip nat inside source list nat_users interface FastEthernet4 overload
!
ip access-list extended nat_users
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended users_http_deny_sites
permit ip any any
!
control-plane
!
line con 0
no modem enable
transport output telnet
line aux 0
line vty 0 4
privilege level 15
logging synchronous
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

P/S:
Зарезан естессно www.farpost.ru, другие сайты работают, кроме www.mail.ru и yandex.ru
Сайты типа http://horo.mail.ru, http://www.ya.ru, http://www.love.mail.ru - работают!!!

В чем грабли???