Claro, basta adicionar ! -d 192.168.0.0/24 ao comando iptables que você lista acima. No entanto, é mais comum restringir MASQUERADE pela interface de saída (por exemplo, -o eth0 ).
Eu configurei o xen para que todos os meus vms tenham um ip público e um ip privado (192.168.0.x).
No entanto, aqueles vms que não possuem um ip puplicativo também devem ter acesso à internet, então eu configurei o nat.
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
Mas quando eu adiciono esta regra ao iptables eu não consigo mais pingar os outros vm's em seus ip's privados, apenas o dom0 que tem 192.168.0.1.
É possível somente NAT se o endereço de destino não estiver na rede 192.168.0.x?