以下を行うことで、多くの漏洩を防ぐことができます。
- Tinyproxyのようなプロキシサーバーを別のVPSにセットアップする
- 環境変数
HTTPS_PROXYとHTTP_PROXYを設定して、Discourseがそれを使用するようにする(app.ymlのenvセクションで設定) NO_PROXY='127.0.0.1, localhost, <内部ネットワーク>'を設定する
関連項目: Install discourse with internet access only via proxy, Configuration outbound proxy, Discourse Link previews through a proxy server? - #14 by supermathie
また、CFの背後にいる場合は、CloudflareのIP(および自分でアクセスするホスト)からの着信トラフィックのみを許可するように、Discourseホストのファイアウォールを変更できます。