У вас плохое правило, с ним могут перестать работать некоторые сайты, которые не выставляют бит «Don't Fragment» (хотя, правда, именно в этом случае это маловероятно).
Нужно проверять и TCP Identification, и TCP.RST = 1, и только в первых нескольких пакетах в TCP-сессии.
У меня так:

iptables -A FORWARD -p tcp --sport 443 -m connbytes --connbytes-dir reply --connbytes-mode packets --connbytes 1:3 -m u32 --u32 "0x4=0x10000 && 0x1E&0xFFFF=0x5004" -m comment --comment "Rostelecom HTTPS" -j DROP

Но будут проблемы, если захочется скачать что-то нелицензионное с торрентов.
DO, вроде бы, не сильно церемонится, когда прилетает абуза.

Впрочем, можно пустить через VPN только трафик до заблокированных ресурсов. Готовые скрипты здесь.

Для интересующихся: вот простая штука для создания VPN сервера (L2TP over IPSec) на DigitalOcean: http://dovpn.carlfriess.com/

Нужен уже готовый активированный акк на DO. В подвале сайта ссылки на скрипт на github и собственно сам проект — есть немного документации.