Environnements de dev isolés

Bientôt

jailwarden

Faites tourner un agent de code en bypass-permissions dans une jail jetable — sans aucun risque pour votre machine hôte.

Bientôt

0

risque pour la machine hôte

Comment ça marche

Un warden partagé (firewall : nft + squid + unbound + DNAT) protège des jails non-root jetables. L’état sur l’hôte est la seule vérité ; tout en est rendu et hot-appliqué.

topologie · egress
LAN / Internet terminus egress egress ↑ allowlist WARDEN filtre egress · chokepoint unique nft squid unbound DNAT rendu · hot-apply → hôte ~/.jailwarden source de vérité .254.254.254 jail 1 10.10.1.0/24 agent · bypass VM NON-ROOT jail 2 10.10.2.0/24 agent · bypass VM NON-ROOT jail N 10.10.N.0/24 agent · bypass VM NON-ROOT ⊘ voisines bloquées · hôte & LAN injoignables — nft default-deny nœud actif rendu / contrôle isolées entre elles

Ce que ça fait

Isolation prouvée

jw verify déroule les garanties une par une : NIC unique, egress par allowlist, hôte et LAN injoignables, jails voisines bloquées.

Multi-jails à chaud

Ajoutez ou retirez des jails sans redémarrer le warden (hotplug QMP). Plusieurs agents en parallèle derrière le même firewall.

Workflow agent complet

jw shell | agent | review | push | sync : le repo entre par seed, le travail ressort par review/push depuis l’hôte.

Egress maîtrisé

Tout passe par un proxy à allowlist de domaines par jail, DNS par-jail, et default-deny sur le reste.

Observabilité des flux

jw flows unifie les verdicts nft / squid / unbound : voyez exactement ce qui est bloqué et pourquoi.

Plugin Claude Code

Pilotez jw en langage naturel via la skill /jw : sonder, expliquer, planifier, confirmer, exécuter.

Aperçu

shell 
jw create dev --profile web-dev --repo ~/dev/monprojet
jw warden up -f      # le firewall partagé
jw up dev -f         # boot + provisioning + clone
jw verify dev        # 7/7 PASS (10/10 dès une 2e jail)