Reserve proxy через ip nginx идет DDOS

🌐 Non-english support 🇷🇺 русский язык (russian)
1

Установил nextcloud на ubuntu 20.04 , через другой сервер на котором nginx (ip сервера 192.168.1.41)
через nginx перенаправил на всех на сервер ubuntu/nextcloud (его ip 192.168.1.21)

конфиг nginx на 41

server {
location / {
proxy_pass https://192.168.1.21/;
proxy_pass_header Server;
proxy_set_header Upgrade $http_upgrade;
}

server_name cloud.energo-plus.com.ua  www.cloud.energo-plus.com.ua;

listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/cloud.energo-plus.com.ua/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/cloud.energo-plus.com.ua/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

client_max_body_size 0;

location /.well-known/carddav {
return 301 $scheme://$host/remote.php/dav;
}

location /.well-known/caldav {
return 301 $scheme://$host/remote.php/dav;
}

}
server {
if ($host = www.cloud.energo-plus.com.ua) {
return 301 https://$host$request_uri;
} # managed by Certbot

if ($host = cloud.energo-plus.com.ua) {
    return 301 https://$host$request_uri;
} # managed by Certbot


listen 80 default_server;
listen [::]:80 default_server;
server_name cloud.energo-plus.com.ua  www.cloud.energo-plus.com.ua;
return 404; # managed by Certbot

}

проблема в том что у меня не работает стандартное приложение на андроид. Доходит до пункта “разрешить доступ” и все, нечего не происходит.
Но это еще пол беды, если кто то не правильно ввводит пароль то изза перенаправления прокси все идут “одним путем” , в журнале ошибок пишет :

Warning no app in context Login failed: admin (Remote IP: 192.168.1.41) 2021-02-18T08:53:36+0200
Warning core Login failed: ‘userlogin’ (Remote IP: ‘192.168.1.41’) 2021-02-18T08:45:27+0200

то есть все входы идут через прокси/ ip 192.168.1.41 , если 1 человек будет много раз вводить неправильно пароль то его заблокирует nextcloud , что в свою очередь заблокирует и всех остальных потому что все идут с одного ip , выходит DDOS сервера, а если через config nextcloud отключить блокировку то сервер вместо 1-5 гб ОЗУ , начинает потреблять ~ 40+ ГБ и это только за сутки , если прекратить DDOS , ОЗУ в норму не возращается , по документации
https://docs.nextcloud.com/server/stable/admin_manual/configuration_server/reverse_proxy_configuration.html
я не очень понял как правильно делать, делал почти на угад , подскажите как быть?