Eu uso as seguinte regras abaixo.
/ip firewall layer7-protocol
add name=FACEBOOK regexp=facebook.com
add action=drop chain=forward comment="====== BLOQUEIO GERAL FACEBOOK ======" \
disabled=no dst-port=80,443 in-interface=ether5-lan layer7-protocol=\
FACEBOOK protocol=tcp
Abaixo para você liberar algum IP Especifico em sua Rede.
add action=accept chain=forward comment=\
"====== FACEBOOK LIBERADO PARA O IP ======" disabled=no dst-port=80,443 \
layer7-protocol=FACEBOOK protocol=tcp src-address=192.168.252.82
Lembrando que a Regra de Liberar tem que estar acima da de Bloqueio.