Zum Inhalt springen
Ein SSH-Hostname pro Server · per öffentlichem Schlüssel geroutetSFTP · sshfs · WebDAV – alle nativ, gleicher SchlüsselEchte Client-IP auf Socket-Ebene (kein X-Forwarded-For)SOCKS5 · HTTP · HTTPS · Block-Modus – auf Host-Ebene erzwungenMullvad · iVPN · AirVPN · WireGuard IntegrationenGeo-Routing: Länder- · Stadt- · Regions-Parameter
Ein SSH-Hostname pro Server · per öffentlichem Schlüssel geroutetSFTP · sshfs · WebDAV – alle nativ, gleicher SchlüsselEchte Client-IP auf Socket-Ebene (kein X-Forwarded-For)SOCKS5 · HTTP · HTTPS · Block-Modus – auf Host-Ebene erzwungenMullvad · iVPN · AirVPN · WireGuard IntegrationenGeo-Routing: Länder- · Stadt- · Regions-Parameter
Ein SSH-Hostname pro Server · per öffentlichem Schlüssel geroutetSFTP · sshfs · WebDAV – alle nativ, gleicher SchlüsselEchte Client-IP auf Socket-Ebene (kein X-Forwarded-For)SOCKS5 · HTTP · HTTPS · Block-Modus – auf Host-Ebene erzwungenMullvad · iVPN · AirVPN · WireGuard IntegrationenGeo-Routing: Länder- · Stadt- · Regions-Parameter
Ein SSH-Hostname pro Server · per öffentlichem Schlüssel geroutetSFTP · sshfs · WebDAV – alle nativ, gleicher SchlüsselEchte Client-IP auf Socket-Ebene (kein X-Forwarded-For)SOCKS5 · HTTP · HTTPS · Block-Modus – auf Host-Ebene erzwungenMullvad · iVPN · AirVPN · WireGuard IntegrationenGeo-Routing: Länder- · Stadt- · Regions-Parameter
Home / Methoden / Zugriff & Netzwerk
Querschnittsmethode

HTTP und SSH, von jedem Gerät, mit manipulationssicherem Egress.

Jeder Container ist aus einem Browser, aus dem Terminal, aus einem Dateimanager auf einem gesperrten Unternehmens-Laptop erreichbar.

SSH · SFTP · sshfs · WebDAV · HTTPS · Host-Level-Egress-Policy

Schlüsselgeroutetes SSHJedes Gerät mit einem BrowserEchte Client-IP am SocketHost-Level-Egress-Policy
SSH & Netzwerk-Anleitung
Home / Methoden / Zugriff & Netzwerk / real-ip
Echte Client-IP

Die IP, die deine App sieht, ist die IP, die sich verbunden hat.

Hoody Proxy bewahrt die ursprüngliche Client-IP auf Socket-Ebene über benutzerdefinierte Netfilter-Hooks im Host-Kernel.

Every language just reads the real IP
Node.js (Express)req.socket.remoteAddress
Python (Flask)request.remote_addr
PHP$_SERVER['REMOTE_ADDR']
Go (net/http)r.RemoteAddr
iptables / nftables Regeln-s 203.0.113.0/24

Kein X-Forwarded-For-Parsing. Keine trust-proxy-Middleware. Der Kernel liefert die echte IP an jede Anwendung.

Home / Methoden / Zugriff & Netzwerk / mounts
Dateizugriff

Vier Wege, das Dateisystem eines Containers zu sehen.

SFTP, sshfs, WebDAV und direkter HTTP-Zugang via Files-Service – alle auf demselben Schlüssel, alle denselben Container.

SFTP

SSH-basierte Dateiuebertragung. FileZilla, Cyberduck, WinSCP, CLI-sftp. Das von jeder IT-Abteilung akzeptierte Protokoll.

sshfs

Lokaler Mount auf macOS / Linux. Das Container-Dateisystem erscheint in /mnt/container/* — deine IDE, dein grep, deine Build-Tools funktionieren lokal.

WebDAV

Reines HTTP. Durchlaeuft Unternehmens-Firewalls. macOS Finder, Windows Explorer und jeder großen Linux-Dateimanager binden es als Netzlaufwerk ein.

HTTPS (Hoody Files)

REST-API für geskriptete Dateioperationen. GET / PUT / Auflisten / Suchen / Verschlüsseln auf 60+ Cloud-Backends — siehe /kit/files.

Home / Methoden / Zugriff & Netzwerk / Ausgehend
Ausgehende Netzwerkpolitik

Kontrolliere, wo der Traffic herausgeht.

Der Host erzwingt Egress-Politiken über iptables/nftables-Regeln. Kein Container-Code kann die Richtlinie umgehen.

Direct

Kein Egress-Override — Container geht durch das Host-Netzwerk nach aussen.

SOCKS5

Ausgehender Traffic über SOCKS5-Proxy geroutet.

HTTP-Proxy

Ausgehender Traffic über HTTP/HTTPS-Proxy geroutet.

HTTPS-Proxy

TLS-verpackter HTTP-Proxy für sensible Unternehmensnetzwerke.

Block

Alle ausgehenden Verbindungen blockiert. Container nur über Proxy erreichbar.

Die Durchsetzungsschicht ist der Host-Kernel, nicht eine Bibliothek innerhalb des Containers. Eine kompromittierte Abhaengigkeit kann den Proxy nicht deaktivieren.

Home / Methoden / Zugriff & Netzwerk / Firewall
Ingress- + Egress-Firewall

Paket-Ebene-Regeln, per API verwaltet.

Ingress- und Egress-Regeln laufen am Host, angewendet bevor ein Paket den Container betritt oder verlässt. First-Match-Auswertung.

Beispiel: SSH aus einem CIDR erlauben, alles andere blockieren
{
  "action": "allow",
  "protocol": "tcp",
  "destination_port": "22",
  "source": "203.0.113.0/24"
}

Regeln werden über den Control Plane verwaltet — siehe /platform/control-plane für POST /firewall/ingress und verwandte Endpunkte.

Home / Methoden / Zugriff & Netzwerk / vpn
Exit-Nodes

Ein Exit-Land auswählen. Oder einen VPN-Anbieter. Oder beides.

Die Netzwerkkonfiguration akzeptiert country/city/region-Parameter für geo-geroutete SOCKS5-Exits und integriert Mullvad, iVPN und AirVPN.

Geografische Exit-Auswahl

country, city, region-Felder in der Netzwerkkonfiguration. Drei Container gleichzeitig in drei Regionen starten — jeder präsentiert eine andere IP.

Kommerzielle VPN-Integrationen

Mullvad, iVPN, AirVPN als First-Class-Anbieter unterstützt. Credentials einmal angeben; der Host routet den Container durch den VPN.

WireGuard / benutzerdefinierte Profile

Eigene VPN-Konfiguration mitbringen. Der Host verwaltet das Interface; dein Container sieht ein normales Netzwerk.

Benutzerdefiniertes DNS (bis zu 4 Server)

DNS pro Container überschreiben. Standard ist 1.1.1.1 + 8.8.8.8. Nuetzlich für Split-Horizon-DNS oder private Zonen.

Home / Methoden / Zugriff & Netzwerk / Gateway
Gateway-Container

Einen Container in ein HTTP-natives VPN verwandeln.

Herkömmliche VPN-Setups benötigen Client-Software auf jedem Gerät. Ein Gateway-Container ermöglicht den Zugriff auf interne Services von überall mit einem Browser.

Keine Client-Installation

Jedes Gerät mit einem Browser kann eine URL aufrufen — das ist die ganze Installationsgeschichte.

Zugriff per URLs, nicht per Tunneln

Funktioniert von Unternehmens-Laptops, Telefonen, Tablets, gesperrten Kiosken — überall, wo ein Browser eine HTTPS-Anfrage stellen kann.

Standardmäßig MITM-fähig

Traffic inspizieren, Auth-Schichten hinzufuegen, Anfragen umschreiben. Das Gateway ist ein Container; du kontrollierst alles, was es tut.

Ohne clientseitige Änderung ersetzen

Gateway-Container löschen und einen neuen erstellen. Clients öffnen einfach weiter die URL — keine Software-Updates, keine Push-Konfigurationen.

Home / Methoden / Zugriff & Netzwerk / IPv4
Demnächst

Dedizierte IPv4 – auf der Roadmap.

Aktuelle Container teilen Egress-IPs über den Host. Dedizierte IPv4-Adressen-Zuweisung ist als demnachst dokumentiert.

Heute: SOCKS5-Proxy per Netzwerkkonfiguration auf einen VPS mit dedizierter IP oder kommerziellen Exit. Morgen: natives dediziertes IP.

Home / Methoden / Zugriff & Netzwerk / Start
Start

Alles erreichen. Nichts Unerwartetes rauslassen.

Container starten, SSH-Schlüssel hinterlegen, Egress-Modus einstellen. Du hast jetzt den staerksten Standard auf jeder Plattform.

Netzwerk-Leitfaden

Siehe auch — /platform/proxy für die URL-Grammatik, /platform/control-plane für Firewall- und Netzwerk-APIs.