Почему 443-й порт может быть “открыт”, но трафик не идёт

Многие думают, что сеть работает бинарно:
порт открыт — значит всё полетит.
порт закрыт — значит блокировка.

Но есть третий режим. Самый неприятный.

Порт открыт. Но поток не проходит.

И это почти никогда не магия. Это политика.

Port open ≠ Path allowed

То, что у тебя слушает :443, означает только одно:
сервис готов принять соединение локально.

Но между клиентом и сервером лежит инфраструктура:
маршрутизаторы, фильтры, DPI, shaping, policer’ы, CGNAT и перегруженные аплинки.

Открытый порт — это дверь.
Но дверь не значит, что тебе разрешили войти в город.

Блокировка чаще всего не выглядит как блокировка

Если оператор реально хочет “запретить” — он режет SYN, шлёт RST или делает blackhole.

Но чаще применяется другое:
selective deprioritization + traffic shaping.

Пакеты не исчезают.
Они просто начинают проигрывать конкуренцию за очередь.

Поэтому картина выглядит странно:

ping нормальный

traceroute чистый

соединение иногда даже устанавливается

но скорость “проваливается в яму”

Это не обрыв. Это вытеснение.

DPI не обязан ломать соединение, ему достаточно сделать его бесполезным

DPI редко работает как “рубильник”.
Он работает как классификатор.

Он видит TLS fingerprint, паттерны пакетов, частоту, размеры сегментов и поведение клиента.
И помечает поток как “нежелательный”.

А дальше QoS-политика отправляет его в очередь, где он будет умирать медленно и без скандала.

Самое страшное в таких системах:
они не запрещают. Они делают вид, что всё работает.

TCP честно пытается жить… и честно умирает

TCP будет бороться до последнего:
уменьшит окно, снизит скорость, уйдёт в ретрансляции.

И со стороны это выглядит как “просто медленно”.
Хотя на самом деле это управляемая деградация.

Сеть давно перестала быть вопросом “открыт/закрыт”.
Она стала системой очередей, приоритетов и невидимых правил.

И если поток не проходит — это не всегда проблема конфигурации.
Иногда это просто место в очереди.