Запрет определенных сайтов по имени.

Открываем New Terminal. И вставляем наше правило. Не забудьте поднять его наверх.

Можете также вручную кнопкой [+] создать это правило.

/ip firewall filter add act=drop chain=forward cont="Host: mikrotik.org"
 prot=tcp src-address=192.168.0.2 in-int=LAN1

Все. сайт mikrotik.org больше не откроется. Тем самым Вы блокируете только исходящие запросы еще на взлете. Роутеру уже не нужно фильтровать входящие пакеты от этого сайта, потому как Входящих пакетов само собой дальше уже не будет. А исходящий трафик обычно в 10-20 раз меньше входящего. Да и фильтруются только исходящие TCP запросы. Кроме того сами исходящие GET-запросы копеечные по траффику - до 200-500 байт. Они помещаются в один пакет. Т.к. что нагрузка на правило content - мизерная.

Кроме того не будут блокироваться сайты, содержащие строчку Host: mikrotik.org и будут проходить get-запросы содержащие строчку Mikrotik .org. Что есть очень хорошо.

src-address - ставим IP компьютера-жертвы.

content="Host: mikrotik.org" - блокируемый сайт

Если нужно заблокировать доступ к сайту для всех компов, убираем эту строчку src-address.

Если нужно блокировать только определенным компьютерам - то создайте во вкладке address-list, записи с IP блокируемых компьютеров. И назовите эти записи к примеру block-website.

А вот Этот адрес-лист укажите уже в записи Src.Address List.
Src-address - удалите