Squid и запрет работы с другими прокси.

>Разумеется, вариант с баном по IP даже не рассматривается

Ну зачем сразу за упокой начинать? Есть вполне конкретные обновляемые блеклисты, есть приблуды к кальмару, вроде режика и сквидгарда.
Лично я использую http://www.squidguard.org/ + http://www.shallalist.de/ (правда, немного дополненный личным опытом). Тестовая группа квази-хомячков за полчаса непрерывного гугления так и не смогла обойти эту защиту :)

А вот если "клиенты" знают, что такое TOR... Это уже гораздо веселее. Самое простое, тупое, но эффективное решение против тора - запрет обращений по IP-адресам (только по доменным именам). Сквидгард это нативно умеет. Имхо изящнее, чем запрет HTTPS ;)

При сильном желании, тор можно забанить через iptables:
http://l7-filter.sourceforge.net/protocols

l7-filter... Кошмар.
userspace версия - ужас, летящий на крыльях ночи (по личному опыту).
kernel - левый патч для ядра со всеми вытекающими.

Уж лучше iptables -m string

>kernel - левый патч для ядра со всеми вытекающими.

Успешно на роутере для более полутысячи машин режет торренты, пока ничего не вытекло.

>Успешно на роутере для более полутысячи машин режет торренты, пока ничего не вытекло.

Кому что. Я не роутерами, а серверами занимаюсь. Так вот, на серверах есть такой зверь, как "обновления безопасности" :)

А для обрезания торрентов без гемора есть ipp2p (из xtables-addons, а не pom-ng).

Dansguardian+Squid+Sarg