HTTP et SSH, depuis n'importe quel appareil, avec un egress inviolable.
Chaque conteneur est joignable depuis un navigateur, depuis le terminal, depuis un gestionnaire de fichiers sur un laptop verrouillé. Le trafic sortant passe par une politique appliquée au niveau de l'host — le conteneur ne peut pas la contourner.
SSH · SFTP · sshfs · WebDAV · HTTPS · politique d'egress au niveau host
L'IP que votre app voit, c'est l'IP qui s'est connectée.
Hoody Proxy préserve l'IP client originale au niveau socket via des hooks netfilter custom dans le kernel host. N'importe quel langage, n'importe quel framework, n'importe quel script legacy — tous voient la véritable adresse distante sans aucune modification.
req.socket.remoteAddressrequest.remote_addr$_SERVER['REMOTE_ADDR']r.RemoteAddr-s 203.0.113.0/24Pas de parsing X-Forwarded-For. Pas de middleware trust-proxy. Le kernel livre la vraie IP à chaque socket applicatif avant que votre code ne s'exécute.
Quatre façons de voir le filesystem d'un container.
Chaque paradigme d'accès aux fichiers que les développeurs préfèrent fonctionne directement. Même auth, même routage — protocoles différents pour contextes différents.
SFTP
Transfert de fichiers basé sur SSH. FileZilla, Cyberduck, WinSCP, sftp en CLI. Le protocole approuvé en entreprise que toutes les équipes IT autorisent déjà.
sshfs
Montage local sur macOS / Linux. Le filesystem du conteneur apparaît dans /mnt/container/* — votre IDE, votre grep, vos outils de build ouvrent les fichiers directement.
WebDAV
HTTP pur. Traverse les firewalls d'entreprise. macOS Finder, Windows Explorer et tous les principaux gestionnaires de fichiers Linux le montent comme un disque réseau, sans plugin.
HTTPS (Hoody Files)
API REST pour les opérations de fichiers scriptées. GET / PUT / list / search / encrypt par-dessus 60+ backends cloud — voir /kit/files pour le runtime.
Le routage est déclaratif et appliqué par l'host.
Définis le mode d'egress avec un seul appel API. Chaque processus dans le conteneur — Node, Python, Go, curl, npm install, git push — passe automatiquement par lui. Pas de variables HTTP_PROXY, pas de config applicative. Un conteneur ne peut ni voir ni contourner sa propre politique d'egress.
Direct
Aucune surcharge d'egress — le conteneur sort par le réseau host.
SOCKS5
Tout TCP passe par le proxy SOCKS5. Auth supportée. Au niveau host — chaque processus est routé pareil.
Proxy HTTP
Proxy HTTP traditionnel, même couche d'application. Utile pour la conformité d'entreprise.
Proxy HTTPS
Proxy HTTP encapsulé en TLS pour les réseaux d'entreprise sensibles.
Blocage
Aucun TCP sortant. Le conteneur reste joignable via les URLs Hoody Proxy. Le mode sandbox AI le plus strict.
— La couche d'application, c'est le kernel host, pas une librairie dans le container. Une dépendance compromise ne peut pas désactiver la politique.
Règles au niveau paquet, gérées via API.
Les règles d'ingress et d'egress tournent sur l'host, appliquées avant qu'un paquet n'entre dans le conteneur ou n'en sorte. Évaluation au premier match, action allow / reject / drop, filtre protocole pour TCP / UDP / ICMPv4. Plages CIDR, listes de ports, plages de ports.
{
"action": "allow",
"protocol": "tcp",
"destination_port": "22",
"source": "203.0.113.0/24",
"description": "Allow SSH from office"
}— Les règles sont gérées via la Control Plane — voir /platform/control-plane pour POST /firewall/ingress et les endpoints associés.
Choisissez un pays de sortie. Ou un fournisseur VPN. Ou les deux.
La config réseau accepte les paramètres pays / ville / région pour des sorties SOCKS5 géo-routées, et s'intègre avec Mullvad, iVPN, AirVPN, et n'importe quel profil WireGuard. Montez des bancs de test géo-conscients ou des workloads renforcés sans toucher au code applicatif.
Sélection géographique de sortie
Champs country, city, region sur la config réseau. Lancez trois conteneurs dans trois régions en même temps — chacun présente une IP d'egress différente aux APIs externes.
Intégrations VPN commerciales
Mullvad, iVPN, AirVPN supportés en first-class. Fournis vos credentials une fois ; l'host route le conteneur à travers le VPN.
WireGuard / profils custom
Apportez votre propre config VPN. L'host gère l'interface ; votre conteneur voit un réseau normal.
DNS custom (jusqu'à 4 serveurs)
Surcharge le DNS par container. Par défaut 1.1.1.1 + 8.8.8.8. Utile pour le DNS split-horizon ou les zones privées.
Transforme un conteneur en VPN HTTP-natif.
Les setups VPN traditionnels exigent un client logiciel sur chaque appareil. Un conteneur gateway vous permet de joindre des services internes depuis n'importe quel navigateur — pas de client VPN, pas d'enrôlement, pas de politique MDM. Le gateway tourne comme un conteneur normal avec des scripts MITM qui inspectent, modifient et forwardent les requêtes.
Zéro installation client
Chaque appareil avec un navigateur peut joindre une URL — c'est toute l'histoire de l'install.
Accès via URLs, pas via tunnels
Fonctionne depuis les laptops d'entreprise, les téléphones, les tablettes, les kiosques verrouillés — partout où un navigateur peut faire une requête HTTPS.
MITM-capable par défaut
Inspectez le trafic, ajoutez des couches d'auth, réécrivez les requêtes. Le gateway est un conteneur ; vous contrôlez tout ce qu'il fait.
Remplace sans changement côté client
Détruis le conteneur gateway et lances-en un nouveau. Les clients ouvrent simplement l'URL — pas de mise à jour logicielle, pas de config poussée.
IPv4 dédiée — sur la roadmap.
Les conteneurs actuels partagent les IPs d'egress via l'host. L'attribution d'adresse IPv4 dédiée est documentée comme à venir. Pour les cas qui nécessitent une IP sortante stable aujourd'hui, configurez un proxy SOCKS5 pointant vers votre infra à IP dédiée.
Aujourd'hui : proxy SOCKS5 via la config réseau pointant vers un VPS à IP dédiée ou une sortie commerciale. Demain : attribution native d'IP dédiée.
Joignez tout. Ne laissez rien sortir d'inattendu.
Lancez un conteneur, déposez une clé SSH, choisissez un mode d'egress. vous disposez maintenant du défaut le plus strict de toutes les plateformes — ouvert là où vous voulez, fermé là où vous ne voulez pas.
Voir aussi — /platform/proxy pour la grammaire des URLs, /platform/control-plane pour les APIs firewall + réseau, /methods/data-state pour les montages de stockage.