跳转到内容
每台服务器一个 SSH 主机名 · 通过公钥路由SFTP · sshfs · WebDAV——全部原生,同一密钥套接字层真实客户端 IP(无需 X-Forwarded-For)SOCKS5 · HTTP · HTTPS · 阻断模式——宿主机强制执行Mullvad · iVPN · AirVPN · WireGuard 集成地理路由:country · city · region 参数
每台服务器一个 SSH 主机名 · 通过公钥路由SFTP · sshfs · WebDAV——全部原生,同一密钥套接字层真实客户端 IP(无需 X-Forwarded-For)SOCKS5 · HTTP · HTTPS · 阻断模式——宿主机强制执行Mullvad · iVPN · AirVPN · WireGuard 集成地理路由:country · city · region 参数
每台服务器一个 SSH 主机名 · 通过公钥路由SFTP · sshfs · WebDAV——全部原生,同一密钥套接字层真实客户端 IP(无需 X-Forwarded-For)SOCKS5 · HTTP · HTTPS · 阻断模式——宿主机强制执行Mullvad · iVPN · AirVPN · WireGuard 集成地理路由:country · city · region 参数
每台服务器一个 SSH 主机名 · 通过公钥路由SFTP · sshfs · WebDAV——全部原生,同一密钥套接字层真实客户端 IP(无需 X-Forwarded-For)SOCKS5 · HTTP · HTTPS · 阻断模式——宿主机强制执行Mullvad · iVPN · AirVPN · WireGuard 集成地理路由:country · city · region 参数
主页 / 方法 / 访问与网络
横切方法

HTTP 与 SSH,从任意设备,带防篡改出站策略。

每个容器均可从浏览器、终端、甚至受限笔记本电脑的文件管理器访问。出站流量通过宿主机级别策略路由,容器无法绕过。

SSH · SFTP · sshfs · WebDAV · HTTPS · 宿主机级别出站策略

公钥路由 SSH任意有浏览器的设备套接字层真实客户端 IP宿主机级别出站策略
SSH 与网络指南
主页 / 方法 / 访问与网络 / 真实 IP
真实客户端 IP

应用看到的 IP 就是实际连接的 IP。

Hoody 代理通过宿主机内核中的自定义 netfilter 钩子在套接字层保留原始客户端 IP。任意语言、任意框架、任意遗留脚本——无需任何修改,均可看到真实远端地址。

Every language just reads the real IP
Node.jsreq.socket.remoteAddress
Python (Flask)request.remote_addr
PHP$_SERVER['REMOTE_ADDR']
Go (net/http)r.RemoteAddr
iptables / nftables 规则-s 203.0.113.0/24

无需解析 X-Forwarded-For,无需 trust-proxy 中间件。内核在代码运行前就将真实 IP 传递给每个应用套接字。

主页 / 方法 / 访问与网络 / 挂载
文件访问

四种查看容器文件系统的方式。

每位开发者偏好的文件访问方式都能正常工作。相同认证,相同路由——不同场景选择不同协议。

SFTP

基于 SSH 的文件传输。FileZilla、Cyberduck、WinSCP、命令行 sftp。企业认可的协议,每个 IT 团队都已允许。

sshfs

macOS / Linux 本地挂载。容器文件系统出现在 /mnt/container/*——IDE、grep、构建工具直接打开文件。

WebDAV

纯 HTTP,可穿透企业防火墙。macOS Finder、Windows 资源管理器和所有主流 Linux 文件管理器无需插件即可挂载为网络驱动器。

HTTPS(Hoody Files)

用于脚本化文件操作的 REST API。在 60+ 云后端上实现 GET / PUT / list / search / encrypt——运行时详见 /kit/files。

主页 / 方法 / 访问与网络 / 出站
策略化出站

路由是声明式的,宿主机强制执行。

通过一次 API 调用设置出站模式。容器中的每个进程——Node、Python、Go、curl、npm install、git push——自动通过它路由。无需 HTTP_PROXY 环境变量,无需应用配置。容器无法查看或绕过自身的出站策略。

直连

不覆盖出站——容器通过宿主机网络直接出站。

SOCKS5

所有 TCP 通过 SOCKS5 代理路由,支持认证。宿主机级别——每个进程路由方式相同。

HTTP 代理

传统 HTTP 代理,相同强制层,适用于企业合规场景。

HTTPS 代理

适用于敏感企业网络的 TLS 加密 HTTP 代理。

阻断

无出站 TCP。容器仍可通过 Hoody 代理 URL 访问。最强 AI 沙箱模式。

强制层是宿主机内核,而非容器内的库。被攻陷的依赖无法取消策略。

主页 / 方法 / 访问与网络 / 防火墙
入站 + 出站防火墙

数据包级别规则,通过 API 管理。

入站和出站规则在宿主机层运行,在数据包进入或离开容器之前应用。首匹配评估,动作为 allow / reject / drop,支持 TCP / UDP / ICMPv4 协议过滤、CIDR 范围、端口列表和端口范围。

示例:允许来自一个 CIDR 的 SSH,阻断其他所有流量
{
  "action": "allow",
  "protocol": "tcp",
  "destination_port": "22",
  "source": "203.0.113.0/24"
}

规则通过 Control Plane 管理——POST /firewall/ingress 及相关接口见 /platform/control-plane。

主页 / 方法 / 访问与网络 / VPN
出口节点

选择出口国家,或 VPN 服务商,或两者兼备。

网络配置接受 country / city / region 参数用于地理路由 SOCKS5 出口,并集成 Mullvad、iVPN、AirVPN 和任意 WireGuard 配置文件。无需修改应用代码即可构建地理感知测试环境或隐私强化工作负载。

地理出口选择

网络配置中的 country、city、region 字段。同时启动三个不同地区的容器——每个向外部 API 呈现不同的出站 IP。

商业 VPN 集成

原生支持 Mullvad、iVPN、AirVPN。一次性提供凭据,宿主机将容器流量路由到 VPN。

WireGuard / 自定义配置文件

自带 VPN 配置,宿主机处理接口,容器看到正常网络。

自定义 DNS(最多 4 台服务器)

按容器覆盖 DNS,默认为 1.1.1.1 + 8.8.8.8,适用于分离域 DNS 或私有区域。

主页 / 方法 / 访问与网络 / 网关
网关容器

将容器变成 HTTP 原生 VPN。

传统 VPN 设置需要在每台设备安装客户端。网关容器让你从任意浏览器访问内部服务——无需 VPN 客户端,无需注册,无需 MDM 策略。网关作为普通容器运行,带 MITM 脚本可检查、修改和转发请求。

零客户端安装

任何有浏览器的设备都能访问 URL——这就是全部的安装故事。

通过 URL 访问,而非隧道

可从企业笔记本、手机、平板、受限信息亭访问——任何能发起 HTTPS 请求的地方。

默认支持 MITM

检查流量、添加认证层、重写请求。网关是容器,一切都在你的控制之下。

无需客户端变更即可替换

销毁网关容器,创建新的。客户端继续打开 URL——无需软件更新,无需推送配置。

主页 / 方法 / 访问与网络 / IPv4
即将上线

专用 IPv4——已列入路线图。

当前容器通过宿主机共享出站 IP。专用 IPv4 地址分配已文档化为即将推出。对于当前需要稳定出站 IP 的使用场景,请配置指向自有专用 IP 基础设施的 SOCKS5 代理。

当前方案:通过指向专用 IP VPS 或商业出口的网络配置中的 SOCKS5 代理。未来:原生专用 IP 分配。

主页 / 方法 / 访问与网络 / 开始
开始

访问一切。杜绝意外出站。

启动容器,放入 SSH 密钥,设置出站模式。你现在拥有任何平台上最强的默认配置——在选择的地方开放,在不需要的地方封闭。

网络指南

另见——/platform/proxy(URL 语法)、/platform/control-plane(防火墙 + 网络 API)、/methods/data-state(存储挂载)。