Ну, с одной стороны, использованием соответствующим образом настроеных проксей можно.. С другой стороны, можно поробовать использовать этот фильтр - http://l7-filter.sourceforge.net/ Ну, и стандартная блокировка IP и портов.

На skype не действует, но если погуглить, можно найти пока работающее решение.

Блокировать!

А адреса есть какие-нибудь? Типа agent.mail.ru, например.

>ICQ, если не ошибаюсь, можно заблокировать заблокировав login.icq.com

login.oscar.aol.com
login.compad.com
ibucp-vip-d.blue.aol.com
ibucp-vip-m.blue.aol.com
bucp2-vip-m.blue.aol.com
Ну может еще какие...

А для Skype и Mail-Agent заблочить порты iptables'ом. Ну можно ещё доступ на соксы и прокси заблочить по стандартным портам (что-бы не бегали через них на Mail-Agent.)

P.S. ЕМНИП mail-agent ходит на mrim.mail.ru

В итоге юзер найдёт Jabber-сервер с 80-м портом и будет коннектиться через его транспорты :D

Хм.. в идеале конечно это все делается не техническими средствами, а регламентами и прочими бамажками =)

а так, если честно, полностью заблокировать не удастся, разве что инет отрубить. Умный человек всегда найдет как поднять шлюз через 80 порт и т.д.

>А для Skype и Mail-Agent заблочить порты iptables'ом.

Skype практически через всё пролезает.

http://www1.cs.columbia.edu/~salman/skype/

Ну тут уже писали - в инете есть вполне работающее решение, как заблокировать скайп - запретить метод CONNECT на айпишники(разрешать только на имена). Но и это в некоторых случаях может не помочь, - например, у джаббера есть http-poll. Ну и, естественно, чтоб в инет ходили через прокси.

Ну и, наверное, можно сделать так, чтобы юзерам не было нужды обходить все эти преграды - поставить локальный XMPP сервер и пущай общаются через него.

Практика показывает, что если у юзера есть интернет он этой заразой все равно будет пользоваться.
Пытался бороться c icq и прочей заразой методами вида:

access-list 120 deny ip any 205.188.0.0 0.0.255.255 time-range WORKTIME
access-list 120 deny ip any 64.12.0.0 0.0.255.255 time-range WORKTIME
access-list 120 deny ip any 194.186.0.0 0.0.255.255 time-range WORKTIME
access-list 120 deny ip any 194.226.0.0 0.0.255.255 time-range WORKTIME
access-list 120 deny ip any 194.67.0.0 0.0.255.255 time-range WORKTIME

И т.д.: можно запретить доступ по ip, можно поставить прокси и запретить на нем forward. Ничерта - все равно пролазят.

Дополнил технические меры административными. Т.е. если юзер явным образом предпринимает действия для преодоления технических ограничений, чем обозначает осознание пагубности своих действий, то руководитель получает полное моральное право надругаться над icq/skype/mra-пользователем на свой вкус :)