Эти правила брандмауэра будут предотвратить входящий DNS-трафик на WAN-интерфейсе
/ip firewall filter
add chain=input action=drop protocol=tcp in-interface=pppoe-out1 dst-port=53
add chain=input action=drop protocol=udp in-interface=pppoe-out1 dst-port=53
(замените ppoe-out1 на имя вашего внешнего интерфейса, полученное из /interface print).
Закрываем доступ к DNS из вне — MikroTik
![](https://galayda.com/wp-content/uploads/2020/08/1709734648_w640_h640_1709734648.jpg)