Não estou familiarizado com as coisas de CSRF e também não com o nginx (o servidor web externo é um apache 2.4), mas tenho certeza de que o CSRF é o meu problema aqui, pois o discourse funciona bem sem login e apenas as requisições POST que são usadas para login falham aqui. Meu haproxy central tem o IP interno 10.10.10.21, portanto, coloquei
set_real_ip_from 10.10.10.21/24;
no yml para o discourse.conf no container web_only. Eu também tentei com o padrão 127.0.0.1/24;, mas ambos resultam no mesmo erro 403 ao fazer login.