Эти правила брандмауэра будут предотвратить входящий DNS-трафик на WAN-интерфейсе
/ip firewall filter
add chain=input action=drop protocol=tcp in-interface=pppoe-out1 dst-port=53
add chain=input action=drop protocol=udp in-interface=pppoe-out1 dst-port=53
(замените ppoe-out1 на имя вашего внешнего интерфейса, полученное из /interface print).