Lo nico que tenis que tener en cuenta al usar los filtros de capa 7 es que pueden consumir muchos recursos de vuestro mikrotik y que se ponga lento, impidiendo el acceso a internet, si tenis muchos equipos conectados a la red. En esos casos es preferible montar unas dns internas y controlar por ah. Redirigimos cualquier uso de dns en el mikrotik al equipo que nos interese:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.XX.X to-ports=53 protocol=tcp dst-port=53