Мысль простая:
Аська сообщениями по 5190 и другим портам обменивается, а баннеры только с определенных 
IP  с 80го порта качает по HTTP ... Когда я на это наткнулся, написал скрипт такого содержания:

#!/bin/sh
# add this rule to your firewall and :
# ipfw deny tcp from 192.168.0.0/16 to table(1) out via rl0 setup dst-port 80

NETS=" 64.12.164 64.12.174 152.163.208 205.188.165 205.188.248 205.188.250 "
IPS=" 25 57 121 153 185 245 "
fwcmd=" ipfw "
tablenum=" 1 "

#Flushing table
${fwcmd} table ${tablenum} flush

#Add tables ips
for D1 in ${NETS}
  do     
  for D2 in ${IPS}
    do
    ${fwcmd} table ${tablenum} add ${D1}.${D2}
    done
  done


И в firewall воткнул правило вида
   ipfw deny tcp from any to table\(1\) out via rl0 setup dst-port 80

Где  rl0 - внешний интерфейс.

Правильнее, конечно настроить squid и резать банеры на нем - но так проще и
быстрее. К тому же заметно меньше грузит машину.