У меня не стояла задача закрытия всего и вся, а стояла задача как для большинства: дать интернет в локалку таким образом, чтобы люди могли качать мега или гига байтами и при этом у других интернет не тормозил из-за качек. Если в вашей задачей все отслеживать и закрывать, тогда наверно действительно лучше squid.
---------------------
А по поводу Layer-7
---------------------
"some users have reported kernel crashes when they using SMP with the kernel version of l7-filter."
По поводу ICQ (в Layer-7 это AIM ?) для aim скорость работы медленная или средняя
(Slow: >33 seconds --> Not so fast: 3.3–33 seconds.)
http-->(Slow: >33 seconds --> Not so fast: 3.3–33 seconds.)
Тут я не знаток, но насколько понял если каждый раз при установленине соединения, придется запускать вначале проверку на HTTP (ведь через HTTP можно пропускать что угодно) а в случае если не сработало то AIM (ICQ) то при начале соединения интернет будет притормаживать (Кстате в моей конфигурации, которую описал в http://www.dzti.edu.lv/isp-serv/index.php?l=3#qs_markschema студенты жаловались что в начале сайт очень медленно начинает открываться а потом быстро грузится).
Потом Layer-7 не может отлавливать https.....
Да и вообще я пришел после всех экспериментов, что лучше всего это connbyte...
по портам выделяю DNS, HTTP, HTTPS если кто то много прокачивает через эти порты
данных то connbyte перекиывает в менее приоритетный класс в HTB.