有两种方法可以做到这一点：
1- 创建 2 个策略，一个目标是排除范围，另一个是整个目标范围。仅在第二个策略中启用 SNAT。请注意，策略是自上而下匹配的，因此发往排除范围的流量不应命中第二个策略。
2- 创建一个具有排除范围的策略，并在 CLI 中添加“ set dstaddr-negate enable”。现在，除了排除范围之外的任何流量都将匹配此策略。在其上启用 SNAT。

当然，您现在必须处理不匹配的流量。因此，添加第二个具有排除范围目标的策略并在其中禁用（而不是启用）SNAT。

这与#1 几乎相同，但不太明显，因此容易产生误解。'negate' 参数最适合用于更复杂的情况，例如，您在地址范围内有多个“漏洞”并希望阻止与这些相匹配的流量。

不确定我是否正确理解了您 - 通常，您只需根据需要为源/目标设置一个规则，无需 NAT 并将其置于 SNAT 规则之上。