HTTP et SSH, depuis n'importe quel appareil, avec une sortie inviolable.
Chaque conteneur est accessible depuis un navigateur, depuis le terminal, depuis un gestionnaire de fichiers sur un laptop verrouillé. Le trafic sortant transite par une politique au niveau hôte que le conteneur ne peut pas contourner.
SSH · SFTP · sshfs · WebDAV · HTTPS · politique d'égress au niveau hôte
L'IP que voit votre app est l'IP qui s'est connectée.
Hoody Proxy préserve l'IP client originale au niveau socket via des hooks netfilter personnalisés dans le noyau hôte. N'importe quel langage, n'importe quel framework, n'importe quel script legacy — ils voient tous l'adresse distante réelle sans aucune modification.
req.socket.remoteAddressrequest.remote_addr$_SERVER['REMOTE_ADDR']r.RemoteAddr-s 203.0.113.0/24Pas de parsing X-Forwarded-For. Pas de middleware trust-proxy. Le noyau délivre la vraie IP à chaque socket d'application avant l'exécution de votre code.
Quatre façons de voir le système de fichiers d'un conteneur.
Chaque paradigme d'accès aux fichiers préféré par les développeurs fonctionne simplement. Même auth, même routage — protocoles différents pour des contextes différents.
SFTP
Transfert de fichiers via SSH. FileZilla, Cyberduck, WinSCP, sftp CLI. Le protocole approuvé par les entreprises que chaque équipe IT autorise déjà.
sshfs
Montage local sur macOS / Linux. Le système de fichiers du conteneur apparaît dans /mnt/container/* — votre IDE, votre grep, vos outils de build ouvrent simplement les fichiers.
WebDAV
HTTP pur. Traverse les firewalls d'entreprise. macOS Finder, l'Explorateur Windows et chaque gestionnaire de fichiers Linux majeur le montent en tant que lecteur réseau sans plugin.
HTTPS (Hoody Files)
API REST pour les opérations de fichiers scriptées. GET / PUT / list / search / chiffrement sur 60+ backends cloud — voir /kit/files pour le runtime.
Le routage est déclaratif et appliqué par l'hôte.
Définissez le mode d'égress avec un seul appel API. Chaque processus dans le conteneur — Node, Python, Go, curl, npm install, git push — y est routé automatiquement. Pas de variables d'env HTTP_PROXY, pas de config d'application. Un conteneur ne peut pas voir ni contourner sa propre politique d'égress.
Direct
Pas de dérogation d'égress — le conteneur sort par le réseau hôte.
SOCKS5
Tout TCP transite par le proxy SOCKS5. Auth supportée. Au niveau hôte — chaque processus route de la même façon.
Proxy HTTP
Proxy HTTP traditionnel, même couche d'application. Utile pour la conformité d'entreprise.
Proxy HTTPS
Proxy HTTP encapsulé TLS pour les réseaux d'entreprise sensibles.
Blocage
Pas de TCP sortant. Le conteneur reste accessible via les URLs Hoody Proxy. Le mode sandbox IA le plus strict.
— La couche d'application est le noyau hôte, pas une bibliothèque dans le conteneur. Une dépendance compromise ne peut pas désactiver la politique.
Règles au niveau des paquets, gérées via API.
Les règles d'ingress et d'égress s'exécutent au niveau hôte, appliquées avant qu'un paquet entre dans le conteneur ou le quitte. Évaluation par premier-match, action allow / reject / drop, filtre de protocole pour TCP / UDP / ICMPv4. Plages CIDR, listes de ports, plages de ports.
{
"action": "allow",
"protocol": "tcp",
"destination_port": "22",
"source": "203.0.113.0/24"
}— Les règles sont gérées via le Control Plane — voir /platform/control-plane pour POST /firewall/ingress et les endpoints associés.
Choisissez un pays de sortie. Ou un fournisseur VPN. Ou les deux.
La config réseau accepte des paramètres country / city / region pour les sorties SOCKS5 géo-routées, et s'intègre avec Mullvad, iVPN, AirVPN et des profils WireGuard arbitraires. Construisez des bancs de test géo-conscients ou des charges de travail durcies en confidentialité sans toucher au code de l'application.
Sélection de sortie géographique
Champs country, city, region sur la config réseau. Lancez trois conteneurs dans trois régions simultanément — chacun présente une IP d'égress différente aux APIs externes.
Intégrations VPN commerciales
Mullvad, iVPN, AirVPN supportés comme fournisseurs de première classe. Fournissez les credentials une fois ; l'hôte route le conteneur via le VPN.
WireGuard / profils personnalisés
Apportez votre propre config VPN. L'hôte gère l'interface ; votre conteneur voit un réseau normal.
DNS personnalisé (jusqu'à 4 serveurs)
Remplacez le DNS par conteneur. Défaut à 1.1.1.1 + 8.8.8.8. Utile pour le DNS split-horizon ou les zones privées.
Transformez un conteneur en VPN natif HTTP.
Les configurations VPN traditionnelles nécessitent un logiciel client sur chaque appareil. Un conteneur passerelle vous permet d'accéder aux services internes depuis n'importe quel navigateur — pas de client VPN, pas d'inscription, pas de politiques MDM. La passerelle s'exécute comme un conteneur normal avec des scripts MITM qui inspectent, modifient et transmettent les requêtes.
Zéro installation client
Tout appareil avec un navigateur peut accéder à une URL — c'est toute la procédure d'installation.
Accès via URLs, pas via tunnels
Fonctionne depuis les laptops d'entreprise, les téléphones, les tablettes, les kiosques verrouillés — partout où un navigateur peut faire une requête HTTPS.
Capable de MITM par défaut
Inspectez le trafic, ajoutez des couches d'auth, réécrivez les requêtes. La passerelle est un conteneur ; vous contrôlez tout ce qu'elle fait.
Remplacez sans changement côté client
Détruisez le conteneur passerelle et lancez-en un nouveau. Les clients continuent juste d'ouvrir l'URL — pas de mises à jour logicielles, pas de configs poussées.
IPv4 dédié — sur la feuille de route.
Les conteneurs actuels partagent les IPs d'égress via l'hôte. L'assignation d'adresse IPv4 dédiée est documentée comme prochainement disponible. Pour les cas d'usage nécessitant une IP sortante stable aujourd'hui, configurez un proxy SOCKS5 pointant vers votre propre infrastructure à IP dédiée.
Aujourd'hui : proxy SOCKS5 via config réseau pointant vers un VPS à IP dédiée ou une sortie commerciale. Demain : assignation d'IP dédiée native.
Accédez à tout. Ne laissez rien d'inattendu sortir.
Lancez un conteneur, déposez une clé SSH, définissez un mode d'égress. Vous avez maintenant la sécurité par défaut la plus forte sur n'importe quelle plateforme — ouvert où vous choisissez, fermé où vous ne choisissez pas.
Voir aussi — /platform/proxy pour la grammaire URL, /platform/control-plane pour les APIs firewall + réseau, /methods/data-state pour les montages de stockage.