Problemas com nat e ip valido

ola galera do under
Estou com um problema e gostaria de uma ajuda, vou tentar ser o mais claro possível.
Tenho uma RB1100 onde:
porta 1 .............chega meu link wan ......IP xxx.xxx.xxx.109/30
porta 2..............Destinei para minha range de ip validos......IP xxx.xxx.zzz.1/25
porta 3..............destinei como sainda para meus cleintes PPPOE......IP 10.0.0.1/24
porta 4..............destinei para meu MKAuth................IP 172.31.255.1/30
Criei rota e demais configurações.
o meu firewall ficou assim
chain=srcnat
action=masquerade
Quando eu e meus clientes se conectam via pppoe, está tudo normal, navego de boa, se eu vejo em sites q identificam meu IP ele mostra o ip valido xxx.xxx.xxx.109/30(porta1), ok?até ai tudo certo.
Mas quando me conecto na porta 2(IPs válidos minha range) eu navego tranquilo, sem problemas, sem fazer pppoe, afinal são ips válidos; quando vou no mesmo site para identificar meu IP ele mostra que estou com o IP xxx.xxx.xxx.109/30 o da porta 1, como se eu tivesse feito PPPOE, ou seja está sendo feito nat neles também.
Se tiro a regra do firewall que eu fiz como mostrado, meus clientes PPPOE não navegam, mas meus IPs válidos ficam visiveis e identificados.
Como posso resolver isso?com outra regra de firewall para meus ips validos para que não sejam nat??ou especificar a saida.
Grato
Pardex

Amigo você deve estar mandando mascarar qualquer rede... ao invéz de especificar qual rede você quer fazer o NAT.
Faça o nat especificando qual rede deve ser mascarada!

chain=srcnat action=masquerade src-address=10.0.0.0/24
chain=srcnat action=masquerade src-address=172.31.255.0/24
E a rede válida não precisa de mascaramento.

Caros amigos iverton e farias........tentei , mas mesmo assim continuo com problema, fiz do jeito que o iverton mostrou, mas qdo se loga via PPPOE não navega. Será que se eu tenho q fazer mais alguma coisa alem disso? fiz isso no firewall/nat
Teria como fazer ao contrario?? especificar as portas para que naum seja feito nat???teria como??
grato pela ajuda
pardex

amigo vc pode fazer p nat mascarando a faixa de ips que vc quer acessar e direcionando os ips nas placas que sai os ips.
ex.: add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
"Clientes CW" src-address=172.31.255.0/24


abraçoo

Nada ainda amigos.........será q está faltando algo além do nat???

amigo não tem que fazer nada alem de roteamento com ips válidos.
teu firewall não ta bloqueando nada? dá um accept no forward nesses ips válidos

amigo tenta ver o redirecionamento dos seus ips, para placa dos ips

Galera !!

Valeu pela ajuda.............ta tdo funcionando de boa, com as dicas de vcs.Desculpa a demora pra responder........

Pardex

clica na estrelinha de quem ajudou amigo.