Usar um switch Ethernet significa que um PC não pode ver o tráfego diretamente entre dois outros computadores na mesma LAN (os hubs Ethernet mais antigos permitiam que os PCs capturassem esse tráfego).
Para impedir que um PC observe o tráfego de broadcast enviado por outros PCs, você teria que colocar cada PC em um domínio de broadcast separado. Alguns roteadores suportam VLANs, o que é uma maneira de conseguir isso. Coloque cada PC em uma VLAN separada. Você pode então usar as regras do roteador para decidir qual tráfego é permitido entre os computadores. Isso coloca uma grande carga no seu roteador e em seu administrador.
Você diz "RouterTik OS", mas se você está falando de um roteador sem fio MikroTik rodando o RouterOS, o que está acima não se aplica. Seu roteador MikroTik pode ter configurações que separam os PCs.