У той группы должны быть rwx полномочия на той папке. Если не выполненный
chmod 775 <directory>
Мой первый инстинкт - то, что в Вашем примере стоимость и сложность Ваших правил идентичны и который лучше, столько же персонального предпочтения сколько что-либо еще. Инверсия обычно не более сложна как правило соответствия в netfilter.
Общее согласие, кажется, что число и упорядочивание правил намного более важны для оптимальной производительности затем, как Вы создаете отдельные правила, хотя можно сделать усиления там также.
Linux netfilter брандмауэр обычно работает под первым основанием соответствия, и правила в каждой цепочке обрабатываются последовательно, таким образом, чем меньше правил должно было быть обработано прежде, чем поразить соответствие, тем выше Ваша производительность будет.
Это - причина, как которая большинство конфигураций брандмауэра имеет что-то: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
как первое правило. Обычно то единственное правило соответствует большинству всего движения на довольно оживленных сайтах. (Как во вверх 99% всего трафика...)
Теперь остающиеся правила брандмауэра только, чтобы быть инициированными и обработанными для новых соединений, значительно уменьшив объем необходимой обработки.
Так как правила обрабатываются в порядке с точки зрения производительности, которую имеет смысл заказывать правилам тем, как, вероятно, они инициированы.
например, на веб-сервере подавляющее большинство трафика будет на портах HTTP по умолчанию. Поэтому правило как -A INPUT -p tcp -m state --state NEW -m multiport --dports 80,443 -j ACCEPT
осуществление большинства Ваших пользователей должно быть Вашим вторым правилом и не как правилом номер 199 после целого диапазона правил, которые вряд ли будут соответствовать для любого, но небольшого количества определенных пользователей и/или редких протоколов.
До обработки правил при помощи корректных модулей как, например, многопортовый и iprange можно создать умные правила скорее затем многочисленные отдельные правила.