Galera, pra excluir alguém da regra é só adicionar em source address ou em dst address..
Tipo assim.. Eu quero que o ip 192.168.10.1 da minha rede interna funcione normalmente..
Então é só colocar em src. address assim: !192.168.10.1
Agora se você quer deixar pingar algum ip externo.. coloca em dst. address assim:
!200.200.200.1
Entenderam??