В целях обеспечения соответствия PCI-DSS меня попросили посмотреть, есть ли небольшой потребительский маршрутизатор и т. Д., Который может принимать пакет из одного сегмента сети и изменять IP-адрес назначения (с самого себя на новый IP-адрес) и изменять адрес источника (от исходного источника до IP-адреса маршрутизатора), а затем отправить его во второй сегмент сети.
В качестве (упрощенного) примера:
У меня POS на IP 1.1.1.1
Он "знает" об устройстве для обработки кредитных карт в 2.2.2.2.
Он (POS) отправляет пакет [от: 1.1.1.1] к 2.2.2.2
Но 2.2.2.2 на самом деле является прокси-маршрутизатором. Настоящее устройство для обработки кредитных карт находится на 3.3.3.3.
Прокси-маршрутизатор изменяет IP-адрес назначения на: 3.3.3.3, и, для обеспечения соответствия, изменяет адрес источника на 2.2.2.2 и передает этот пакет фактическому устройству обработки кредитных карт.
Устройство обрабатывает данные и отправляет ответ [from: 3.3.3.3] на 2.2.2.2, который, конечно же, является прокси-маршрутизатором. Прокси-маршрутизатор преобразует источник в 2.2.2.2, а пункт назначения в 1.1.1.1 и отправляет его обратно в POS.
Я знаю, что могу решить эту проблему некрасивым способом с помощью пары маршрутизаторов NAT, подключенных последовательно, но я надеюсь, что есть более элегантное решение.
Спасибо
Вы хотите, чтобы обработка вашей кредитной карты производилась на устройствах потребительского уровня? Зачем? И почему дополнительный NAT, PCI-DSS не имеет такого требования. Я предлагаю вместо этого получить другого QSA или аудитора, чтобы вам не приходилось делать эти бессмысленные вещи :)