diff --git a/README.md b/README.md
index f4d14eb..1b6c451 100644
--- a/README.md
+++ b/README.md
@@ -1596,5 +1596,54 @@ ________________________________________________________________________________
 <p align="center">
   <img src="images/module3/10.png" width="600" />
 </p>
+> Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами.
+
+### <p align="center"><b>4.	Настройте межсетевой экран на маршрутизаторах HQ-RTR и BR-RTR на сеть в сторону ISP</b></p>
+
+Для выполнения этого задания нам нужно обеспечить работу только нужных протоколов, а именно: HTTP, HTTPS, DNS, NTP, ICMP. А также запретить остальные подключения из сети Интернет во внутреннюю сеть.
+
+<p align="center"><b>*HQ-RTR*</b></p>
+
+Отредактируем nftables под текст задания:
+
+<p align="center">
+  <img src="images/module3/12.png" width="600" />
+</p>
+
+Не забываем применять:
+
+<p align="center">
+  <img src="images/module3/11.firewall.png" width="600" />
+</p>
+
+<p align="center"><b>*BR-RTR *</b></p>
+
+<p align="center">
+  <img src="images/module3/13.png" width="600" />
+</p>
+
+<p align="center">
+  <img src="images/module3/14.png" width="600" />
+</p>
+
+И проверим, не отвалился ли туннель ipsec после настройки правил на HQ-RTR:
+
+***ipsec status***
+
+<p align="center">
+  <img src="images/module3/15.png" width="600" />
+</p>
+> Видим, что соединение установлено и всё хорошо!
+
+Проверим также наличие связи между конечными устройствами, отправим эхо-запрос с *HQ-CLI на BR-SRV*:
+
+***ping 192.168.200.2***
+
+
+<p align="center">
+  <img src="images/module3/16.png" width="600" />
+</p>
+> Связь есть, всё отлично! Задание выполнено!
+
+### <p align="center"><b>5.	Настройте принт-сервер cups на сервере HQ-SRV.</b></p>
 
-Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами.