joh*_*nbr -1 cisco router nat proxy d-link
出于 PCI-DSS 合规性的目的,我被要求查看是否有一个小型消费者路由器/等可以接受来自一个网段的数据包,并更改目标 IP 地址(从自身更改为新 IP)并更改源地址(从原来的源到路由器的IP),然后在第二个网段发送出去。
作为(简化)示例:
我在 IP 1.1.1.1 上有一个 POS
它“知道”2.2.2.2 上的信用卡处理设备
它(POS)发送一个数据包[从:1.1.1.1]到2.2.2.2
但是2.2.2.2实际上是一个代理路由器。真正的信用卡处理设备在3.3.3.3。
代理路由器将目标 IP 更改为:3.3.3.3,并且为了合规性,将源地址更改为 2.2.2.2,并将该数据包传递到实际的信用卡处理设备。
设备处理数据,并将响应发送回 [from: 3.3.3.3] 到 2.2.2.2,这当然是代理路由器。代理路由器将源转换为 2.2.2.2,将目标转换为 1.1.1.1 并将其发送回 POS。
我知道我可以用一对背对背连接的 NAT 路由器以一种丑陋的方式解决这个问题,但我希望有一个更优雅的修复方法。
谢谢
您希望在消费级设备上完成信用卡处理吗?为什么?以及为什么额外的 NAT、PCI-DSS 没有这样的要求。我建议换一个不同的 QSA 或审计员,这样你就不必做这些没有意义的事情:)