Exception rule for Netflix streaming?

I have recently started using Netflix again and am having trouble with it streaming to devices behind my UTM. I'm 99% sure it's due to the content filter and requires an exception rule; I have never been good with these rules and am wondering if anyone has created a rule for Netflix already?

I have "Bypass content scanning for streaming content" enabled which has not made a difference. When I add specific devices to the "transparent mode skiplist" they instantly work.
  • See this thread here. I added as an exception last night and it cleared up my Netflix streaming from mobile devices issue.
  • In reply to agentdr8:

    See this thread here. I added as an exception last night and it cleared up my Netflix streaming from mobile devices issue.


    Just so I'm clear - which exception did you add? There are several listed in that thread!
  • In reply to autumnwalker:

    Just so I'm clear - which exception did you add? There are several listed in that thread!




    EDIT: Realized that isn't very import-friendly, so you can copy and paste the below and import in bulk:

    ^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/
    ^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*
  • This appears to have worked. Thanks!
  • In reply to agentdr8:

    To get Netflix to work on my Google TV Revue, I also added these three to the list below:

    ^http?://23.7.139.*
    ^https?://secure\.netflix\.com/*
    ^https?://uiboot\.netflix\.com/*

    EDIT: Realized that isn't very import-friendly, so you can copy and paste the below and import in bulk:

    ^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/
    ^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*[/QUOTE]
    ^http?://23.7.139.*
    ^https?://secure\.netflix\.com/*
    ^https?://uiboot\.netflix\.com/*
  • Logikgr, thanks for your contribution!  You might want to edit your work to make a few changes though.  Just a quick lesson on REGEX...

    "*" means "zero or more of the preceding character"
    "." means "any character"
    "http?" means "'http' or 'htt'"

    Ending an expression with ".*" makes the program compare the entire string and can cause failures if the URL is long.

    Cheers - Bob
  • In reply to BAlfson:

    Forgive my new user status - how do you add

    ^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/
    ^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*[/QUOTE]
    ^http?://23.7.139.*
    ^https?://secure\.netflix\.com/*
    ^https?://uiboot\.netflix\.com/*

    to the rules?  Thanks!
  • Netflix uses amazon for most of their stuff so you really contact except one thing..the best way is to put the device in question into the http proxy bypass.especially fi it is mobile(consoles, tablets, phones).  Here are my desktop exceptions..there's only 2:

    Skipping: Authentication / Antivirus / Extension blocking / URL Filter / Content Removal
    nflximg.net
    nflxvideo.net
  • In reply to BAlfson:

    Logikgr, thanks for your contribution!  You might want to edit your work to make a few changes though.  Just a quick lesson on REGEX...

    "*" means "zero or more of the preceding character"
    "." means "any character"
    "http?" means "'http' or 'htt'"

    Ending an expression with ".*" makes the program compare the entire string and can cause failures if the URL is long.

    Cheers - Bob


    Yeah those are sort of ugly:

    These have always been sufficient on the system we test. 

    ^https?://[A-Za-z0-9.-]*netflix-*.vo.llnwd.net/
    ^https?://[A-Za-z0-9.-]*nflximg.com/
    ^https?://[A-Za-z0-9.-]*nflxvideo.net/
    ^https?://[A-Za-z0-9.-]*netflix.com/

    Although I agree with william. If you have a console just exempt the darn thing from transparent proxy and let it do ANY/ANY/ANY in the firewall and make your life easier.
  • In reply to ratz:

    Yeah those are sort of ugly:

    These have always been sufficient on the system we test. 

    ^https?://[A-Za-z0-9.-]*netflix-*.vo.llnwd.net/
    ^https?://[A-Za-z0-9.-]*nflximg.com/
    ^https?://[A-Za-z0-9.-]*nflxvideo.net/
    ^https?://[A-Za-z0-9.-]*netflix.com/

    Although I agree with william. If you have a console just exempt the darn thing from transparent proxy and let it do ANY/ANY/ANY in the firewall and make your life easier.


    no need to change the firewall rules..once you put it inside the http bypass it's done.  I just had to add my ipad so whatever sophos is doing with the proxy no amount of exceptions are helping with streaming services.
  • There's also dns resolution issues within the proxy in regards to streaming services.  If you watch the logs you'll see the dns names and the categorization is correct.  However you'll also see some ip addresses in there..if you do a reverse dns on that ip it will be an ip of a netflix associated server.  This ip will change often..and it causes the categorization to be listed as http defeating the netflix exceptions.  I've reported this bug and been told i'm wrong(I've been told that before..) so right now the only way to deal with problematic streaming services is to put the affected device(99.999% of the time it's a mobile device too)in the http bypass section.  Unfortunately support's reaction has been to close the support cases i've started about this.  Keep the pressure on folks..Smile
  • Newbie here, same issue with Netflix streaming. Question on the Transparent Mode Skip List as that seems to be looking for a Network Definition while what I'm seeing here are URL definitions. I've added these to the firewall (skipping AV) but no go. AV is definitely the issue as everything works if I turn AV scanning off. I just added netflix.com and netfliximg.com to the Transparent Mode Skip List but no change. Obviously I'm misunderstanding something so any advice is welcome.
  • try to make an exception for AV for those domains,
    there's a difference between the firewall and web filter,
    if web filter is enabled, then the firewall won't handle traffic based on http and https ports
    and they say you have to add the source host to the skip list Wink
  • In reply to philq:

    Newbie here, same issue with Netflix streaming. Question on the Transparent Mode Skip List as that seems to be looking for a Network Definition while what I'm seeing here are URL definitions. I've added these to the firewall (skipping AV) but no go. AV is definitely the issue as everything works if I turn AV scanning off. I just added netflix.com and netfliximg.com to the Transparent Mode Skip List but no change. Obviously I'm misunderstanding something so any advice is welcome.


    the http proxy skiplist is for INTERNAL machines not external.  so whatever phones or ipads or whatever is having issues put them there.
  • My rule list looks like this at this time.  I had to add the last two subnets this week and all is working fine with Web Protection and Antivirus turned on in Transparent mode.  All of my iPhones,iPads and AppleTV's in the house work just fine also without creating a Skip rule for them..

    ^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/
    ^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/
    ^https?://([A-Za-z0-9.-]*\.)?netflix\.com/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*
    ^http?://23.7.139.*
    ^https?://secure\.netflix\.com/*
    ^https?://uiboot\.netflix\.com/*
    ^https?://108.175.41.*
    ^https?://108.175.40.