HTTP y SSH, desde cualquier dispositivo, con egreso a prueba de manipulaciones.
Cada contenedor es accesible desde un navegador, desde el terminal, desde un gestor de archivos en un portátil bloqueado. El tráfico de salida enruta a través de una política a nivel de host que el contenedor no puede eludir.
SSH · SFTP · sshfs · WebDAV · HTTPS · política de egreso a nivel de host
La IP que ve tu app es la IP que se conectó.
Hoody Proxy preserva la IP original del cliente a nivel de socket mediante hooks netfilter personalizados en el kernel del host. Cualquier lenguaje, cualquier framework, cualquier script legacy — todos ven la dirección remota real sin ninguna modificación.
req.socket.remoteAddressrequest.remote_addr$_SERVER['REMOTE_ADDR']r.RemoteAddr-s 203.0.113.0/24Sin parseo de X-Forwarded-For. Sin middleware trust-proxy. El kernel entrega la IP real a cada socket de aplicación antes de que corra tu código.
Cuatro formas de ver el filesystem de un contenedor.
El paradigma de acceso a archivos preferido de cada desarrollador simplemente funciona. Misma autenticación, mismo enrutamiento — protocolos diferentes para contextos diferentes.
SFTP
Transferencia de archivos por SSH. FileZilla, Cyberduck, WinSCP, CLI sftp. El protocolo aprobado por empresas que todo equipo de IT ya permite.
sshfs
Montaje local en macOS / Linux. El filesystem del contenedor aparece en /mnt/container/* — tu IDE, tu grep, tus herramientas de build simplemente abren archivos.
WebDAV
HTTP puro. Atraviesa firewalls corporativos. macOS Finder, Windows Explorer y todos los gestores de archivos Linux principales lo montan como unidad de red sin ningún plugin.
HTTPS (Hoody Files)
API REST para operaciones de archivos por script. GET / PUT / listar / buscar / cifrar sobre 60+ backends cloud — ver /kit/files para el runtime.
El enrutamiento es declarativo y aplicado por el host.
Establece el modo de egreso con una llamada a la API. Todos los procesos del contenedor — Node, Python, Go, curl, npm install, git push — enrutan a través de él automáticamente. Sin variables de entorno HTTP_PROXY, sin configuración de aplicación. Un contenedor no puede ver ni eludir su propia política de egreso.
Directo
Sin override de egreso — el contenedor sale por la red del host.
SOCKS5
Todo TCP enruta a través del proxy SOCKS5. Auth soportado. A nivel de host — todos los procesos enrutan igual.
Proxy HTTP
Proxy HTTP tradicional, misma capa de aplicación. Útil para cumplimiento corporativo.
Proxy HTTPS
Proxy HTTP envuelto en TLS para redes corporativas sensibles.
Bloquear
Sin TCP de salida. El contenedor sigue accesible por las URLs de Hoody Proxy. El modo sandbox de IA más fuerte.
— La capa de aplicación es el kernel del host, no una biblioteca dentro del contenedor. Una dependencia comprometida no puede anular la política.
Reglas a nivel de paquete, gestionadas vía API.
Las reglas de entrada y salida corren en el host, aplicadas antes de que un paquete entre al contenedor o lo salga. Evaluación por primer match, acción allow / reject / drop, filtro de protocolo para TCP / UDP / ICMPv4. Rangos CIDR, listas de puertos, rangos de puertos.
{
"action": "allow",
"protocol": "tcp",
"destination_port": "22",
"source": "203.0.113.0/24"
}— Las reglas se gestionan vía el Control Plane — ver /platform/control-plane para POST /firewall/ingress y endpoints relacionados.
Elige un país de salida. O un proveedor VPN. O ambos.
La configuración de red acepta parámetros de país / ciudad / región para salidas SOCKS5 con enrutamiento geográfico, e integra con Mullvad, iVPN, AirVPN y perfiles WireGuard arbitrarios. Crea rigs de prueba con geo-conciencia o cargas de trabajo con privacidad reforzada sin tocar el código de la aplicación.
Selección de salida geográfica
Campos country, city, region en la configuración de red. Arranca tres contenedores en tres regiones simultáneamente — cada uno presenta una IP de egreso diferente a las APIs externas.
Integraciones VPN comerciales
Mullvad, iVPN, AirVPN soportados como proveedores de primera clase. Proporciona credenciales una vez; el host enruta el contenedor a través de la VPN.
WireGuard / perfiles personalizados
Trae tu propia configuración VPN. El host gestiona la interfaz; tu contenedor ve una red normal.
DNS personalizado (hasta 4 servidores)
Override de DNS por contenedor. Por defecto 1.1.1.1 + 8.8.8.8. Útil para DNS split-horizon o zonas privadas.
Convierte un contenedor en una VPN nativa en HTTP.
Las configuraciones VPN tradicionales necesitan software cliente en cada dispositivo. Un contenedor gateway te permite acceder a servicios internos desde cualquier navegador — sin cliente VPN, sin enrollment, sin políticas MDM. El gateway corre como un contenedor normal con scripts MITM que inspeccionan, modifican y reenvían solicitudes.
Instalación cero en el cliente
Cualquier dispositivo con navegador puede acceder a una URL — esa es toda la historia de instalación.
Acceso por URLs, no por túneles
Funciona desde portátiles corporativos, teléfonos, tablets, quioscos bloqueados — cualquier lugar donde un navegador pueda hacer una solicitud HTTPS.
MITM habilitado por defecto
Inspecciona el tráfico, añade capas de auth, reescribe solicitudes. El gateway es un contenedor; tú controlas todo lo que hace.
Reemplaza sin cambios en el cliente
Elimina el contenedor gateway y crea uno nuevo. Los clientes siguen abriendo la URL — sin actualizaciones de software, sin configuraciones enviadas.
IPv4 dedicado — en el roadmap.
Los contenedores actuales comparten IPs de egreso a través del host. La asignación de dirección IPv4 dedicada está documentada como próximamente. Para casos de uso que requieran una IP de salida estable hoy, configura un proxy SOCKS5 apuntando a tu propia infraestructura de IP dedicada.
Hoy: proxy SOCKS5 vía configuración de red apuntando a un VPS de IP dedicada o salida comercial. Mañana: asignación nativa de IP dedicada.
Accede a cualquier cosa. No dejes salir nada inesperado.
Arranca un contenedor, añade una clave SSH, establece un modo de egreso. Ahora tienes el default más robusto en cualquier plataforma — abierto donde eliges, cerrado donde no.
Ver también — /platform/proxy para la gramática de URL, /platform/control-plane para APIs de firewall + red, /methods/data-state para montajes de almacenamiento.