Тоже, думаю, ассинхронно блокировка работает.
Ещё заметил, что пока жива сессия по nf_conntrack_udp_timeout_stream CGNAT, то где-то через минуту после прекращения отправки пакетов от клиента начинают приходить пакеты от сервера. Как идея, быть может получится реализовать протокол по аналогии с ReQrypt, но с открытием NAT сессии одним пакетом и heartbeat со стороны клиента не тригеря блокировку, маленькие запросы переводить на другой медленный сторонний прокси, а большие ответы получать от блокируемого сервера?