HTTP e SSH, de qualquer dispositivo, com saída à prova de adulteração.
Todo contêiner é acessível a partir de um navegador, do terminal, de um gerenciador de arquivos em um laptop bloqueado. O tráfego de saída roteia por uma política em nível de host que o contêiner não pode contornar.
SSH · SFTP · sshfs · WebDAV · HTTPS · política de saída em nível de host
O IP que seu app vê é o IP que se conectou.
O Hoody Proxy preserva o IP original do cliente no nível do socket via hooks netfilter personalizados no kernel do host. Qualquer linguagem, qualquer framework, qualquer script legado — todos veem o endereço remoto real sem nenhuma modificação.
req.socket.remoteAddressrequest.remote_addr$_SERVER['REMOTE_ADDR']r.RemoteAddr-s 203.0.113.0/24Sem parsing de X-Forwarded-For. Sem middleware de trust-proxy. O kernel entrega o IP real para cada socket de aplicação antes do seu código ser executado.
Quatro formas de ver o sistema de arquivos de um contêiner.
O paradigma de acesso a arquivos preferido de cada desenvolvedor simplesmente funciona. Mesma autenticação, mesmo roteamento — protocolos diferentes para contextos diferentes.
SFTP
Transferência de arquivos baseada em SSH. FileZilla, Cyberduck, WinSCP, CLI sftp. O protocolo aprovado pelo TI corporativo que toda equipe já permite.
sshfs
Montagem local no macOS / Linux. O sistema de arquivos do contêiner aparece em /mnt/container/* — seu IDE, seu grep, suas ferramentas de build simplesmente abrem arquivos.
WebDAV
HTTP puro. Atravessa firewalls corporativos. macOS Finder, Windows Explorer e todos os principais gerenciadores de arquivos Linux montam como drive de rede sem plugin.
HTTPS (Hoody Files)
API REST para operações de arquivo com script. GET / PUT / listagem / busca / criptografia em cima de 60+ backends na nuvem — veja /kit/files para o runtime.
O roteamento é declarativo e aplicado pelo host.
Defina o modo de saída com uma chamada de API. Todo processo no contêiner — Node, Python, Go, curl, npm install, git push — roteia por ele automaticamente. Sem variáveis de ambiente HTTP_PROXY, sem configuração de aplicação. Um contêiner não pode ver nem contornar sua própria política de saída.
Direto
Sem substituição de saída — o contêiner sai pela rede do host.
SOCKS5
Todo TCP roteia pelo proxy SOCKS5. Autenticação suportada. Nível de host — todo processo roteia da mesma forma.
Proxy HTTP
Proxy HTTP tradicional, mesma camada de aplicação. Útil para conformidade corporativa.
Proxy HTTPS
Proxy HTTP com TLS para redes corporativas sensíveis.
Bloquear
Sem TCP de saída. O contêiner ainda é acessível via URLs do Hoody Proxy. O modo mais forte de sandbox para IA.
— A camada de aplicação é o kernel do host, não uma biblioteca dentro do contêiner. Uma dependência comprometida não pode desfazer a política.
Regras no nível de pacote, gerenciadas via API.
Regras de entrada e saída rodam no host, aplicadas antes de um pacote entrar no contêiner ou sair dele. Avaliação por primeiro match, ação allow / reject / drop, filtro de protocolo para TCP / UDP / ICMPv4. Faixas CIDR, listas de portas, intervalos de portas.
{
"action": "allow",
"protocol": "tcp",
"destination_port": "22",
"source": "203.0.113.0/24"
}— As regras são gerenciadas via Control Plane — veja /platform/control-plane para POST /firewall/ingress e endpoints relacionados.
Escolha um país de saída. Ou um provedor de VPN. Ou ambos.
A configuração de rede aceita parâmetros de país / cidade / região para saídas SOCKS5 geo-roteadas e integra com Mullvad, iVPN, AirVPN e perfis WireGuard arbitrários. Construa rigs de teste com reconhecimento geográfico ou cargas de trabalho hardened para privacidade sem tocar no código da aplicação.
Seleção geográfica de saída
Campos country, city, region na configuração de rede. Suba três contêineres em três regiões simultaneamente — cada um apresenta um IP de saída diferente para APIs externas.
Integrações com VPN comerciais
Mullvad, iVPN, AirVPN suportados como provedores de primeira classe. Forneça as credenciais uma vez; o host roteia o contêiner pela VPN.
WireGuard / perfis personalizados
Traga sua própria configuração de VPN. O host gerencia a interface; seu contêiner vê uma rede normal.
DNS personalizado (até 4 servidores)
Substitua o DNS por contêiner. Padrão é 1.1.1.1 + 8.8.8.8. Útil para DNS split-horizon ou zonas privadas.
Transforme um contêiner em uma VPN nativa de HTTP.
Configurações de VPN tradicionais precisam de software cliente em cada dispositivo. Um contêiner gateway permite acessar serviços internos de qualquer navegador — sem cliente VPN, sem cadastro, sem políticas MDM. O gateway roda como um contêiner normal com scripts MITM que inspecionam, modificam e encaminham requisições.
Zero instalação de cliente
Todo dispositivo com um navegador pode acessar uma URL — essa é toda a história da instalação.
Acesso via URLs, não túneis
Funciona em laptops corporativos, celulares, tablets, quiosques bloqueados — em qualquer lugar onde um navegador pode fazer uma requisição HTTPS.
MITM-capable por padrão
Inspecione tráfego, adicione camadas de auth, reescreva requisições. O gateway é um contêiner; você controla tudo que ele faz.
Substitua sem mudança no lado do cliente
Destrua o contêiner gateway e suba um novo. Os clientes continuam abrindo a URL — sem atualizações de software, sem configs enviadas.
IPv4 dedicado — no roadmap.
Os contêineres atuais compartilham IPs de saída pelo host. A atribuição de endereço IPv4 dedicado está documentada como em breve. Para casos de uso que exigem um IP de saída estável hoje, configure um proxy SOCKS5 apontando para sua própria infraestrutura de IP dedicado.
Hoje: proxy SOCKS5 via configuração de rede apontando para um VPS de IP dedicado ou saída comercial. Amanhã: atribuição nativa de IP dedicado.
Acesse qualquer coisa. Não deixe nada inesperado sair.
Suba um contêiner, adicione uma chave SSH, defina um modo de saída. Agora você tem o padrão mais robusto de qualquer plataforma — aberto onde você escolhe, fechado onde não escolhe.
Veja também — /platform/proxy para permissões de URL e grupos de auth, /platform/control-plane para gerenciamento de realm/token, /methods/access-network para firewall + saída.