Vou descrever brevemente de como bloquear o Skype, não entrarei em detalhes sobre iptables ou proxy.

O skype vem de uma arquitetura muito bem elaborada onde ele atualiza dinamicamente seus servidores e tenta se conectar por diversas portas, por isso se torna difícil o bloqueio do mesmo.

O que proponho aqui nessa dica é utilizar uma arquitetura de rede interna com um firewall na ponta entre a WAN e a rede interna LAN.

Parte-se do princípio que se você não permitir a passagem de uma máquina específica, ou seja, FORWARD, ela não conseguirá conectar o skype. O que tenho visto muito por aí são firewalls com POLICE de ACCEPT ou configurações que permitem "furos" para o skype conectar.

Façamos o primeiro teste:

# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP

A partir desse momento essa determinada máquina não conseguirá atravessar o firewall por nenhuma porta, portanto faça um teste, feche o skype e tente conecta-lo novamente.

Caso essa máquina tenha que utilizar alguma conexão externa, como por exemplo um servidor smtp ou pop externo, aplique a regra acima e depois libere as portas necessárias:

# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -j DROP
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 110 -j ACCEPT (acessar servidor POP)
# iptables -I FORWARD -s "ip da máquina a ser bloqueada" -p tcp --dport 25 -j ACCEPT (acessar servidor SMTP)

Caso você precise implementar isso para toda a sua rede, reveja todas as suas regras de FORWARD, verifique se as POLICE estão como DROP ou uma implementação rápida que seria:

# iptables -I FORWARD -s "ip da minha rede EX: 192.168.1.0/24" -j DROP

# iptables -I FORWARD -s "ip da minha rede a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT
ou
# iptables -I FORWARD -s "ip da minha máquina a liberar acesso as portas externas" -p "protocolo (tipo ex: tcp)" --dport (porta ex: 110,25,etc) -j ACCEPT

Considerações finais

• Libere sempre o extremamente necessário;
• Essa solução foi implementada numa rede onde utiliza-se proxy transparente, não testei sem proxy, mas tem uma chance de o skype utilizar a porta 80;
• Já vi casos em que somente estava liberado o repasse da porta 445, que é para https e o skype se conectava por ela, mas isso é uma particularidade de cada rede;
• Se necessário for, faça uma otimização das regras para cada usuário individualmente, como por exemplo liberando a máquina do "chefe" e bloqueando as outras;
• Se você utiliza política DROP, apenas reveja suas portas liberadas no FORWARD, pois é através de alguma delas que o skype está se conectando.