Всё не так. Файрвол описывает правила входящие с WAN порта. В твоём случае микротик выполняет функцию обычного хаба, внутренние пакеты которого не фильтруются никак.
Настраивай блокировку по IP внутри NAS. Другая тема, если у тебя NAS на конкретном порту микротика висит. Тогда уже оперируй конкретными портами, а с адресами такой фокус не прокатит.