вы определитесь, у вас три сервиса на разных портах - 80, 3000 и 4444, вы показываете конфиг nginx-а на 80 порту, а стучитесь в бэк на 4444
ну и да, у хостера тоже может быть какой то firewall, policy и может где-то их надо разрешить если идем на нестандартный порт.
автор вопроса похоже имел ввиду авторизацию по сертификату, чтобы на сайт мог зайти только тот у кого в браузер добавлен специальный сертификат. такой пример есть (был) в документации nginx-а.
Nginx в контейнере? Тогда на какой нафиг 127.0.0.1 вы пытаетесь кинуть трафик? Если бот - еще один контейнер то и кидайте в этот контейнер, у вас апстрим выше это иллюстрирует там вы кидаете на web