hint000

разрешаем для 192.168.88.101 и 192.168.88.102, потом запрещаем для всех

/ip firewall filter add action=accept chain=forward dst-port=80 protocol=tcp src-address=192.168.88.101
/ip firewall filter add action=accept chain=forward dst-port=80 protocol=tcp src-address=192.168.88.102
/ip firewall filter add action=drop   chain=forward dst-port=80 protocol=tcp

Пусть маки белых хостов - 11:11:11:11:11:11 и 22:22:22:22:22:22, тогда:

iptables -t nat -A zone_lan_prerouting -p udp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
iptables -t nat -A zone_lan_prerouting -p tcp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT

iptables -t nat -A zone_lan_prerouting -p udp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
iptables -t nat -A zone_lan_prerouting -p tcp -m id --id 0x66773300 -m udp --dport 53 -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT

iptables -t nat -A zone_lan_prerouting -p udp -m id --id 0x66773300 -m udp --dport 53 -m comment --comment family-yandex-dns -j DNAT --to-destination 192.168.1.5:65053
iptables -t nat -A zone_lan_prerouting -p tcp -m id --id 0x66773300 -m udp --dport 53 -m comment --comment family-yandex-dns -j DNAT --to-destination 192.168.1.5:65053

Т.е. сначала пропускаем (accept) всех белых без "проксирования" dns. После этого всех оставшихся (кто не белый) уже невзирая на маки "проксируем".