вы определитесь, у вас три сервиса на разных портах - 80, 3000 и 4444, вы показываете конфиг nginx-а на 80 порту, а стучитесь в бэк на 4444
ну и да, у хостера тоже может быть какой то firewall, policy и может где-то их надо разрешить если идем на нестандартный порт.
автор вопроса похоже имел ввиду авторизацию по сертификату, чтобы на сайт мог зайти только тот у кого в браузер добавлен специальный сертификат. такой пример есть (был) в документации nginx-а.
Nginx в контейнере? Тогда на какой нафиг 127.0.0.1 вы пытаетесь кинуть трафик? Если бот - еще один контейнер то и кидайте в этот контейнер, у вас апстрим выше это иллюстрирует там вы кидаете на web
есть. например поднять промежуточный gateway, на современном линуксе, закинуть тунель на промежуточный сервер, с него обычным NAT-ом к вашей виртуалке.
Не трогайте сеть докера. Пробрасываеье порт на хост систему и обращаетесь уже к ней, в зависимости от директивы port у вас будет или localhost:port или нормальный адрес хоста с портом.
Прочитайте доку докера , там просто все
все там нормально со state NEW. он разрешает проходить первым пакетам, они останавливаю связи, остальной трафик будет попадать под state RELATED,ESTABLISHED , которое стоит в самом начале, то есть все отлично. Это стандартная схема для simple iptables firewall
попробуйте почистить содержимое volume esdata