as regras do firewall são lidas em sequência...até que uma permita e/ou bloqueie

/ip firewall filter add=forward src-address=x.x.x.x action=drop
/ip firewall filter add=forward src-address=x.x.x.x action=accept

quando o ip x.x.x.x tenta navegar...qdo ele ler a primeira regra liberando o acesso ele para a leitura e libero o mac pra navegar sem ao menos sequer ler a segunda...
então vc tem de colocar a regra antes de alguma liberando...
so clicar e move-la para cima pelo winbox...