Kaikissa tehtävissä vanhaan tapaan tunnus on aina oma käyttäjätunnuksesi ja mahdolliset yllättävät ongelmat pitää ratkaista.
Asenna itsellesi uusi virtuaalikone tunnus5 käyttäen preseed-tiedostoa. Tarkista koneenin IP-osoitteesta missä lonka-koneessa sen pitää olla (192.168.12X.nnn -> lonkaX). Käytä mallina tätä: preseed.cfg, muuta sinne koneen nimi, käyttäjätunnuksesi ja verkkoasetukset ja asenna näin:
qemu-img create -f qcow2 /home/tunnus/tunnus5.img 8G virt-install -n tunnus5 --memory 512 \ --disk /home/tunnus/tunnus5.img,bus=virtio \ -l http://archive.ubuntu.com/ubuntu/dists/bionic/main/installer-amd64/ \ -w network=default --initrd-inject preseed.cfg
Muuta tunnus1:n palomuurisäännöt kireälle (kaikki POLICYt DROP) ja lisää sinne mitä tarvitaan että kaikki toimii yhä. Testaa erityisesti ftp sekä aktiivisena että passivisena jostain lonka-koneesta tyyliin
wget ftp://tunnus1/tiedosto wget --no-passive-ftp ftp://tunnus1/tiedosto
Varmista että tunnus2:n iptables lokittaa kaikki torjutut paketit (input ja output), poislukien mahdollisesti sellaiset jotka tiedät turhiksi (dokumentoi!), ja katso sen kernel-lokista (/var/log/kern.log) mitä se blokkaa. Tarkista blokattujen viestien porttinumerot (DPT ja SPT), selvitä mitä ne ovat ja lisää tarpeen mukaan sääntöjä po. pakettien sallimiseen.
Konfiguroi tunnus2:n web-palvelin käyttämään https:ää LetsEncrypt-sertifikaatilla. Lisää tarvittaessa palomuuriin sääntöjä sitä varten.
Jaa tunnus3:n kotihakemisto tunnus2:een NFS:llä. Tee molempiin tarvittavat palomuurisäädöt.
Tee tunnus5:een tcp-wrapper säännöt (ei iptablesia), jotka sallivat ssh-yhteydet vain sen lonka-koneen sisäverkosta, jossa se on. (Jos se on lonkaX:ssa salli vain 192.168.12X.0/24.)