Получилось так:
FW_MASQ_NETS=“192.168.137.0/24,!192.168.0.8/32,80”
Всю подсеть нельзя не маскировать,тогда пропадает доступ к интернету по http.
Тогда получается можно правила в дропы и реджекты не писать? просто изъять нужные ip из маскарадинга?
p.s.: С несколькими ip не получается, думаю как диапазон указать…