Две группы с отдельными разрешениями, один каталог?
Я не вижу никаких проблем с вашей конфигурацией iptables. Это наводит меня на мысль, что брандмауэры, работающие на рабочих станциях, препятствуют коммуникационным потокам.
Пожалуйста, выполните следующую проверку:
- На рабочей станции
10.10.10.100запуститеping -t 10.10.11.100 - На маршрутизаторе убедитесь, что пакеты ICMP, поступающие от
10.10.10.100, достигают выходного интерфейса, запустивtcpdump -i enp0s9 icmp and host 10.10.11.100
Поскольку рабочая станция 10.10.11.100имеет доступ в интернет, я также предлагаю вам установить на нее Wireshark версии 1.10 (последнюю ветку, которая поддерживает Windows XP)и проверить, действительно ли пакеты доходят виртуальный адаптер.
Возможно, вам понадобится ACL (Списки контроля доступа )в каталоге. См. эти объяснения из вики Arch Linux или эти из справки Ubuntu. Из смеси обоих:
Установка :Пакет acl является зависимостью systemd, он уже должен быть установлен. Возможно, потребуется установить утилиты acl из репозиториев. В Server Edition это необходимо сделать, а вот в desktop-редакциях acl установлен по умолчанию.
$ sudo apt-get install aclВключить ACL :Файловая система должна быть смонтирована с параметром acl. Вы можете использовать fstab, чтобы сделать его постоянным в вашей системе. Используйте следующую команду, чтобы проверить отформатированные разделы ext *на наличие опции:
# tune2fs -l /dev/sdXY | grep "Default mount options:Параметры монтирования по умолчанию:
user_xattr acl, если необходимо, добавьте параметр acl к разделу (s ), для которого вы хотите включить ACL в
/etc/fstab. Например:... UUID=07aebd28-24e3-cf19-e37d-1af9a23a45d4 /home ext4 defaults,acl 0 2 ...При необходимости перемонтируйте разделы (s ), на которых были включены ACL, чтобы они вступили в силу. Например:
$ sudo mount -o remount /homeУстановить ACL :Чтобы установить разрешения для группы (группа — это либо имя группы, либо идентификатор):
# setfacl -m "g:group:permissions" <file/dir>Показать ACL:
# getfacl <file/dir>
Первый вариант — использовать расширенные списки ACL. Я не фанат этого. Я видел более длительное время решения проблем из-за расширенных ACL, и я нахожу их в целом не очень управляемыми. Сторонники могут не согласиться и указать, что они идеально подходят для таких требований. Но я сомневаюсь, что их вызывали в 3 часа ночи для решения проблем.
Вам нужно понять, какой тип доступа необходим. В стандартном Unix/Linux есть
Type of access For directory For files
r Read access can list the dir can read the file
w write access can create, remove can write to the file
rename files in
the dir
x execute can cd to the dir can execute the file as
program
Если вы посмотрите на полный доступ Windows, это означает
- читать
- напиши
- изменить
- выполнить
- изменить атрибуты/разрешения
- вступить во владение
Modify является контейнером других разрешений (чтение, запись, изменение, выполнение,и измените атрибуты файла ), так что мы не будем это рассматривать.
Читать и писать нужно обеим группам, так что это не должно обсуждаться. Если вашим группам нужно что-то сделать в каталоге, им обоим также потребуется x.
Изменение прав доступа к файлам возможно при наличии права записи в каталог, который был предоставлен. Большинство изменяемых атрибутов (имя, отметка времени )также могут быть изменены при записи в каталог. Но это не должно быть проблемой.
Для смены владельца файла требуется root-доступ (, возможно, через sudo ). Это не то, что вы предоставляете обычным пользователям.
Таким образом, это означает, что нет реальной разницы между обычным доступом, который имеют две группы (, за исключением того, что вы можете разрешить персоналу it -sudo chown).
А это также означает, что вам не нужны сложные списки ACL.