Citação Postado originalmente por TsouzaR Ver Post
Agora fiquei confuso e curioso. Não sabia que era possível mudar o IP de alguém assim, instantaneamente ao fazer o login. Nem mudando no Lease do DHCP Server (apagando e criando outro para o mesmo MAC) a alteração é imediata...

De fato, o que entendi lendo na Wiki da MikroTik sobre o Address Pool do User Profile do Hotspot é que é feita uma tradução dos endereços. Acho que no fim o resultado é o mesmo de que se tivesse realmente mudado o IP no cliente.

Você configurou esse Pool de IPs públicos no User Profile dos clientes, certo?

Se for isso mesmo, eu imaginei a seguinte solução para seu problema:

Há no User Profile um local para definir a Address List onde o IP do cliente autenticado será adicionado ao fazer login. Configure esse campo, coloque nele o nome de uma Address List. Vou usar o nome "autenticado" para exemplificar aqui.

Dessa forma, quem configurar o IP público para roubar Internet não vai ter o IP adicionado nessa Address List, apenas quem realmente fizer o login.

Agora ficou fácil: crie uma regra no Firewall/Filter bloqueando (drop ou reject) o encaminhamento (chain forward) de tráfego para quem tem IP público mas não está na Address List, ex.:

Código :
/ip firewall filter add chain=forward src-address=201.168.10.0/24 src-address-list=!autenticado action=reject reject-with=icmp-net-prohibited

Teste aí e diga se funcionou.
minha range de ip e 172.16.0.1/16
essa regra funciona nesta range?