Самый простой способ, фильтровать все таки по ip-адресам. Сделай список ip-адресов или подсетей, где находятся разрешенные сайты и блокируй пакеты на 80 порту которые отправляются не на эти адреса.
У тебя роутер прописан?
print правила NAT выложи
отключи сервис www на микротике:
/ip service
set www disabled=yes
если не поможет, используй packet sniffer на mikrotik и там смотри что с пакетами
