No post anterior eu esqueci de considerar que o youtube, hoje em dia, trafega em HTTPS. Ou seja, todo o trafego ja vem criptografado do cliente. Pelo seu mikrotik, não vai passar um trafego com conteudo (nem cabeçalho, nem dados) legível, escrito "youtube". Por isso, esse método só funcionaria com sites HTTP.
Acho que só daria pra bloquear por um web proxy, ou por uma lista de endereços IPs do youtube.