Вячеслав Николаев

Ещё как вариант - если МТ используется как днс - в статические записи добавляем
example.com 127.0.0.1
.example.com 127.0.0.1

Не самый действенный и с нюансами, но про более действенные уже написали выше. :)
P.S. а ещё есть тындекс-браузер с его "секурными" днс, так что аккуратнее.

UPD: прочитал комменты. Собственно, я так поступаю как раз с некоторым софтом, который обращается к серверу по днс имени - и это не всегда желательно.
DHCP раздаёт адрес dns-сервера, указывая на контроллер домена, а на нём уже в качестве сервера пересылки стоит днс-сервер на микротике.

нет зашифрованный трафик вы не отсечете ни проксём ни лаер7
только в бан по ипам

я вот так баню
ip firewall layer7-protocol add name=block_site regexp="^.*(get|GET).+(odno(c|k)la(s|ss)niki|vk.com|ok.ru|vk.me).*\$"

для https всё сложней

system scheduler add interval=10m name=schedule on-event=script1 policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive

/system script
add name=script1 policy=ftp,reboot,read,write,policy,test,password,sensitive \
    source=":foreach i in=[/ip dns cache all find where (name~\"odnokl\" || na\
    me~\"vk.com\" || name~\"vk.me\") && (type=\"A\") ] do={\r\
    \n:local tmpAddress [/ip dns cache get \$i address];\r\
    \ndelay delay-time=10ms\r\
    \n#prevent script from using all cpu time\r\
    \n:if ( [/ip firewall address-list find where address=\$tmpAddress] = \"\"\
    ) do={ \r\
    \n:local cacheName [/ip dns cache get \$i name] ;\r\
    \n:log info (\"added entry: \$cacheName \$tmpAddress\");\r\
    \n/ip firewall address-list add address=\$tmpAddress list=blockSS timeout=\
    12:00:00 comment=\$cacheName;\r\
    \n}\r\
    \n}"

ip firewall filter add action=reject chain=forward dst-address-list=blockSS in-interface="eth 1" protocol=tcp reject-with=tcp-reset