Normalmente, o seu NAS não estaria acessível a nenhum acesso externo, a menos que você tenha: a) encaminhado especificamente uma porta para ele; b) não tenha uma regra de descarte no seu firewall.
A opção b deve existir a partir do setup / config padrão do mikrotik, a opção a só deve existir se você fizer isso sozinho.
Então, passivamente, seu nas tem permissão para sair para a rede (exemplo para verificar se há atualizações), mas nada pode alcançar (ou iniciar com) o NAS. Se você quiser bloquear explicitamente qualquer / todas as entradas / saídas para o nas, essa regra deve ajudar:
/ip firewall filter add chain=forward action=drop src-address=192.168.88.7 place-before=0
Altere src-address = para o IP da LAN do seu NAS. Certifique-se de que o lugar antes esteja em algum lugar acima da sua regra final de 'queda'.
Se você não tiver uma regra para eliminar todo o tráfego no final de suas regras de filtragem, adicione uma imediatamente. É importante que esta regra seja LAST nas suas regras de filtro. Qualquer coisa abaixo dela nunca será executada. Se é o primeiro, você provavelmente se trancará fora do roteador.
EDIT- Imagens adicionadas: