зачем функцию запрета доступа переносить на nat? правильный ответ - не за чем!
оставьте свой nat в покое. делайте все через фильтр, ибо из названия уже понятно что он должен фильтровать.
просто создайте правила:
Код: Выделить всё
ip firewall filter add chain=forward connection-state=established
ip firewall filter add chain=forward connection-state=related
ip firewall filter add chain=input src-address-list=allow action=accept
ip firewall filter add chain=forward src-address-list=allow action=accept
ip firewall filter add chain=input action=deny
ip firewall filter add chain=forward action=deny
создайте список адресов allow и пихайте туда тех, кому можно ходить в интернет. при желании усложняйте цепочку правил
!!! перед тем как применять правила, создайте этот список и добавьте себя туда, так как второе правило снизу блокирует доступ к микротику !!!