diff --git a/README.md b/README.md
index f4fb6f5..d5e6e86 100644
--- a/README.md
+++ b/README.md
@@ -664,8 +664,9 @@ ________________________________________________________________________________
*CLI*
-Настройте файл /etc/sudoers на рабочей станции Linux, как описано в предыдущем ответе, используя синтаксис для доменных групп:
-%hq ALL=(ALL) NOPASSWD: /bin/cat, /bin/grep, /usr/bin/id
+Настройте файл */etc/sudoers* на рабочей станции Linux, как описано в предыдущем ответе, используя синтаксис для доменных групп:
+
+***%hq ALL=(ALL) NOPASSWD: /bin/cat, /bin/grep, /usr/bin/id***
> **РЕКОМЕНДАЦИЯ:**
> НА BR-SRV скачиваем: apt install –y mariadb-*
@@ -1485,8 +1486,481 @@ ________________________________________________________________________________
+
> **ПРИМЕЧАНИЕ:**
> Установку браузера отметьте в отчёте
## МОДУЛЬ 3
(1,2 заданий не будет, 7ое задание будет)
+
+### 3. Перенастройте ip-туннель с базового до уровня туннеля, обеспечивающего шифрование трафика
+
+*HQ-RTR*
+
+1. Для начала необходимо установить пакет на наш роутер *HQ-RTR*:
+
+***apt update***
+***apt install strongswan***
+
+
+ 
+
+
+2. Конфигурация IPsec:
+
+На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее:
+
+
+ 
+
+
+Далее нужно настроить файл ipsec.secrets. Вносим туда строку:
+
+***172.16.4.2 172.16.5.2 : PSK “123qweR%”***
+
+
+ 
+
+
+Ещё один конфиг charon.conf, открываем его b редактируем в нём следующую строку, приводя к виду:
+
+***install_routes = no***
+
+
+ 
+
+
+И осталось только перезагрузить службу ipsec:
+
+***ipsec restart***
+
+
+ 
+
+
+*BR-RTR*
+
+1. Для начала необходимо установить пакет на наш роутер *BR-RTR*:
+
+***apt update***
+***apt install strongswan***
+
+
+ 
+
+
+2. Конфигурация IPsec:
+
+На обоих роутерах отредактируйте файл /etc/ipsec.conf, добавив следующее:
+
+
+ 
+
+
+Далее нужно настроить файл ipsec.secrets. Вносим туда строку:
+
+***172.16.5.2 172.16.4.2 : PSK “123qweR%”***
+
+
+ 
+
+
+Ещё один конфиг charon.conf, открываем его и редактируем в нём следующую строку, приводя к виду:
+
+***install_routes = no***
+
+
+ 
+
+
+И осталось только перезагрузить службу ipsec:
+
+***ipsec restart***
+
+
+
+
+
+3. Также можно проверить передаются ли зашифрованные пакеты по сети, для этого нам пригодится утилита tcpdump *на BR-RTR*:
+
+***apt install tcpdump***
+
+И теперь мы можем проверить это, пропишем на роутере *BR-RTR* команду:
+
+***tcpdump -i ens18 -n -p esp***
+
+А на роутере *HQ-RTR* отправим эхо-запрос на порту в сторону branch(br-srv):
+
+***ping 192.168.200.2***
+
+Как можно заметить, на правом роутере мы видим зашифрованные пакеты с меткой ESP:
+
+
+ 
+
+
+> Если IPsec настроен правильно, вы должны видеть защищённый трафик между вашими серверами.
+
+### 4. Настройте межсетевой экран на маршрутизаторах HQ-RTR и BR-RTR на сеть в сторону ISP
+
+Для выполнения этого задания нам нужно обеспечить работу только нужных протоколов, а именно: HTTP, HTTPS, DNS, NTP, ICMP. А также запретить остальные подключения из сети Интернет во внутреннюю сеть.
+
+*HQ-RTR*
+
+Отредактируем nftables под текст задания:
+
+
+ 
+
+
+Не забываем применять:
+
+
+ 
+
+
+*BR-RTR *
+
+
+ 
+
+
+
+ 
+
+
+И проверим, не отвалился ли туннель ipsec после настройки правил на HQ-RTR:
+
+***ipsec status***
+
+
+ 
+
+
+> Видим, что соединение установлено и всё хорошо!
+
+Проверим также наличие связи между конечными устройствами, отправим эхо-запрос с *HQ-CLI на BR-SRV*:
+
+***ping 192.168.200.2***
+
+
+ 
+
+
+> Связь есть, всё отлично! Задание выполнено!
+
+### 5. Настройте принт-сервер cups на сервере HQ-SRV.
+
+1. Для начала необходимо установить пакеты cups и cups-pdf на HQ-SRV:
+
+
+ 
+
+
+Теперь необходимо включить службу cups, чтобы она запускалась вместе с системой:
+
+***systemctl enable –now cups***
+
+Далее, необходимо отредактировать конфиг /etc/cups/cupsd.conf
+
+
+ 
+
+
+
+ 
+
+
+> Во всех блоках Location необходимо добавить строку Allow all, как на скриншоте
+
+Перезапускаем службу cups для применения изменений:
+
+systemctl restart cups
+
+2. Переходим к подключению клиента HQ-CLI
+
+Скачиваем cups:
+
+***apt-get install cups cups-pdf -y***
+
+
+ 
+
+
+На HQ-CLI выполняем следующую команду для подключения к принт-серверу:
+
+***lpadmin -p CUPS -E -v ipp://hq-srv.au-team.irpo:631/printers/PDF -m everywhere***
+
+Установим принтер CUPS, как принтер по умолчанию:
+
+***lpoptions -d CUPS***
+
+
+ 
+
+
+> Как можно заметить, принтер CUPS успешно подключен.
+
+Из-за того, что на HQ-CLI также установлен принт-сервер, можно отключить локальный принтер “Cups-PDF”, чтобы он не мешал.
+
+***lpadmin -x Cups-PDF***
+
+
+ 
+
+
+Теперь у нас остался один принтер. Проверим его работу. Откроем любой текстовый документ и попробуем его распечатать.
+
+
+ 
+
+
+Перейдем в веб-интерфейс CUPS по адресу https://hq-srv.au-team.irpo:631
+- Вкладка *Принтеры*
+- Выбираем наш принтер.
+- Жмем кнопку Показать все задания
+
+### 6. Реализуйте логирование при помощи rsyslog на устройствах HQ-RTR, BR-RTR, BR-SRV
+
+1. Сперва необходимо настроить наш сервер для сбора логов.
+
+Установим пакет rsyslog на HQ-SRV:
+
+apt install rsyslog
+
+Далее, отредактируем файл конфигурации, расположенный по пути
+/etc/rsyslog.conf:
+
+
+ 
+
+
+> Для передачи логов будем использовать протокол TCP, поэтому раскомментируем (уберем #) модуль imtcp, чтобы rsyslog мог получать логи с удаленных узлов.
+
+
+ 
+
+
+> Также необходимо в конец конфига добавить шаблон для сбора логов, чтобы rsyslog сохранял логи по пути, который указан в задании.
+
+Включаем службу rsyslog, чтобы она запускалась вместе с системой и перезапускаем ее для применения изменений:
+
+***systemctl enable rsyslog***
+***systemctl restart rsyslog***
+
+
+ 
+
+
+> Сервер для приема логов настроен
+
+2. Переходим к настройке клиентов. Начнем с роутеров.
+
+Установим пакет rsyslog на HQ-RTR:
+
+
+ 
+
+
+
+ 
+
+
+Далее, отредактируем файл конфигурации, расположенный по пути
+/etc/rsyslog.conf:
+
+
+ 
+
+
+> В блоке MODULES необходимо раскомментировать модули, которые обеспечивают поддержку логирования. (Все кроме модуля imuxsock, потому что вместо него будет использован модуль imjournal). Модуль imjournal придется дописать вручную.
+
+Теперь опускаемся в самый низ конфига, там расположены правила.
+
+Добавляем в самый конец строку, которая отвечает за отправку логов уровня предупреждения (warning) и выше:
+
+****.warning @@192.168.100.2:514***
+
+
+ 
+
+
+Теперь перезапускаем службу rsyslog, чтобы применить изменения.
+
+***systemctl restart rsyslog***
+
+*НА BR-RTR НУЖНО ПОВТОРИТЬ АНАЛАГИЧНО.*
+
+3. Продолжаем настройку клиентов на BR-SRV
+
+Установим на BR-SRV пакет rsyslog:
+
+***apt install rsyslog***
+
+
+ 
+
+
+Далее, отредактируем файл конфигурации, расположенный по пути /etc/rsyslog.conf:
+
+
+ 
+
+
+> Здесь также необходимо раскомментировать модули imjournal, imklog, immark
+
+
+ 
+
+
+> И добавить строку в конец конфига для того, чтобы логи отправлялись на сервер.
+
+Включаем службу rsyslog, чтобы она запускалась вместе с системой и перезапускаем ее для применения изменений:
+
+***systemctl enable rsyslog***
+***systemctl restart rsyslog***
+
+
+ 
+
+
+4. За время пока выполнялась настройка клиентов уже должны появиться логи, проверим каталог /opt на HQ-SRV:
+
+
+ 
+
+
+> Как можно заметить, были автоматически созданы каталоги с именами клиентов. В каждом из них есть файл rsyslog.txt
+
+Проверим, что логируются только сообщения уровня warning и выше.
+
+Добавим несколько записей различного уровня в лог на любом из клиентов, например на BR-SRV, командами:
+
+***logger -p user.info “Test info”***
+
+***logger -p user.warning “Test warning”***
+> сообщения уровня warning:
+
+***logger -p user.error “Test error”***
+> сообщения уровня error:
+
+
+ 
+
+
+Теперь проверим на HQ-SRV содержимое файла /opt/br-srv/rsyslog.txt:
+
+
+ 
+
+
+> Как можно заметить, здесь появились только сообщения уровня warning и error.
+
+5. Перейдем к настройке ротации логов. На HQ-SRV создадим файл /etc/logrotate.d/rsyslog
+Запишем в него следующее содержимое:
+
+
+ 
+
+
+> Настройка ротации на этом закончена, каждую неделю будут проверяться логи и если какие-то из них больше 10МБ, они будут сжаты в архив.
+
+### 8. Реализуйте механизм инвентаризации машин HQ-SRV и HQ-CLI через Ansible на BR-SRV
+
+1. Для начала необходимо создать каталог, в котором будут размещены отчеты о рабочих местах:
+
+***mkdir /etc/ansible/PC_INFO***
+
+
+ 
+
+
+2. Далее, создадим плейбук /etc/ansible/inventory.yml:
+
+
+ 
+
+
+со следующим содержимым:
+
+
+ 
+
+
+3. Проверим работу, командой:
+
+***ansible-playbook /etc/ansible/inventory.yml***
+
+
+ 
+
+
+> - Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука это ожидаемое поведение.
+> - Если запустить плейбук ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно.
+
+4. Проверим наличие и содержимое, созданных отчетов:
+
+***ls -la /etc/ansible/PC_INFO***
+***cat /etc/ansible/PC_INFO/hq-cli.yml***
+***cat /etc/ansible/PC_INFO/hq-srv.yml***
+
+
+ 
+
+
+> Как можно заметить, отчеты созданы и содержат необходимую информацию. Задание выполнено.
+
+### 9. Реализуйте механизм резервного копирования конфигурации для машин HQ-RTR и BR-RTR, через Ansible на BR-SRV
+
+1. Создадим также каталог, в котором будут размещены резервные копии конфигураций маршрутизаторов:
+
+***mkdir /etc/ansible/NETWORK_INFO***
+
+
+ 
+
+
+2. И создаём сам плейбук /etc/ansible/backup.yml:
+
+
+ 
+
+
+со следующим содержимым:
+
+*ОБЯЗАТЕЛЬНО УСТАНОВИТЕ sudo НА HQ-RTR и BR-RTR*
+
+
+ 
+
+
+3. Абсолютно также, как и в предыдущем задании, проверяем его работу, командой:
+
+***ansible-playbook /etc/ansible/backup.yml***
+
+
+ 
+
+
+> - Как и в прошлом задании, Ansible помечает результат как changed, так как фактическое состояние системы меняется. При первом запуске плейбука так и должно быть.
+> - И если запустить его ещё раз, то Ansible покажет для тех же задач статус ok, потому что требуемое состояние уже достигнуто и ничего менять не нужно.
+
+4. Проверим наличие созданных отчетов:
+
+***ls -la /etc/ansible/NETWORK_INFO***
+***ls -la /etc/ansible/NETWORK_INFO/HQ-RTR***
+***ls -la /etc/ansible/NETWORK_INFO/BR-RTR***
+
+
+ 
+
+
+А также их содержимое, если хотите убедиться, что действительно скопировалось, для примера покажем файл interfaces с маршрутизатора HQ-RTR, остальные можете сами:
+
+***cat /etc/ansible/NETWORK_INFO/HQ-RTR/interfaces***
+
+
+ 
+
+
+> По итогу все резервные копии конфигураций созданы и содержат необходимую информацию. Задание выполнено.