Ответ попроще - добавь listen директиву для 3000 порта. Ответ посложнее - зачем тебе вообще редирект с ip:3000 на domain?
Тогда может сразу купить несколько vm? Зачем тебе брать дедик, ставить туда гипервизор, настраивать сетки, bridge, возможно даже строить кластер из гиперов, когда ты можешь пр...
Куда клиент пытается достучаться? Можешь запрос клиента повторить c помощью curl -v и показать?
Я бы рекомендовал сделать max_fails и fail_timeout побольше. P.S. Ну и proxy_read_timeout и proxy_connect_timeout и так по умолчанию 60s, зачем их дополнительно задавать?
А что стоит в worker_processes, worker_connections, worker_rlimit_nofile, multi_accept ?
А какая конфигурация у домена a.domain.com?
А вся эта цепочка не увеличивает ttfb для клиента?
Он падает при нагрузках?
А зачем выключать nat? Можешь ещё раз описать, что у тебя есть и что надо сделать?
Есть какое-нибудь руководство или рекомендация или best-practices по SSL протоколам и шифрам для Nginx?
Может вы HR? Они тоже любят задавать странные вопросы.