Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 69 replies
  • Subscribers 1 subscriber
  • Views 114871 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Netflix for Android now being blocked - why?

Astaro Commando
Currently have a transparent HTTP Proxy enabled. When I try to access Netflix over the android app, I get an error that the service is unavailable. Disabling the proxy fixes it, so it's definitely not an IPS issue.

I was previously able to get this to work by adding the following exceptions:
^https?://[A-Za-z0-9.-]*netflix.com/
^https?://[A-Za-z0-9.-]*llnwd.net/
^https?://[A-Za-z0-9.-]*edgesuite.net/
^https?://[A-Za-z0-9.-]*nflximg.com/
^https?://[A-Za-z0-9.-]*nflxvideo.net

This worked for years but stopped working this week. From what I can tell from the live logs, it looks like Netflix is now using new content servers at the 108.x.x.x address block. From what my traceroutes tell me, there is no DNS name attached to these servers so there is no way for me to mass add them like I did above.

Has anyone else noticed issues? Streaming via HTTP browser works fine.


This thread was automatically locked due to age.
  • 0 in reply to William Warren
    After carefully reading this list I took a combination of approaches to come up with the following Exception list that allows all IOS devices on my network to finally stream Netflix videos:

    ^https?://so[0-9]\.akam\.nflximg\.com
    ^https?://ios\.nccp\.netflix\.com
    ^https?://api-global\.netflix\.com
    ^https?://api\.crittercism\.com
    ^https?://tp\.akam\.nflximg\.com
    ^https?://webvtt\.nflxvideo\.net
    ^https?://presentationtracking\.netflix\.com
    ^https?://customerevents\.netflix\.com
    ^https?://ichnaea\.netflix\.com
    ^https?://cdn[0-9]\.nflximg\.net
    ^https?://gsp10-ssl\.apple\.com
    ^https?://init-p01st\.push\.apple\.com
    ^https?://courier\.push\.apple\.com
    ^https?://manifest\.googlevideo\.com
    ^https?://r12---sn-vgqsen7y\.googlevideo\.com
    ^https?://uiboot\.netflix\.com
    ^https?://108\.175\.3[0-9]

    Here is how I solved it:

    1. I installed Splunk Enterprise (freely available, Download Splunk for free on your operating system) and gathered all logs from the Sophos UTM over syslog.

    2. Instead of the list above I chose "Coming from these Networks" and added my iPhone.

    3. Started the Netflix app and started streaming a video.

    4. Looked at the logs in Splunk and looked at the top values for URL.  Based on these values and others feedback concerning "ranges" of ipaddress and hostnames I made the list.

    Someone please try these exceptions to validate it works for you.  I'm skipping: Antivirus / Extension blocking / MIME type blocking

    Thanks.  Hope this helps.
  • 0
    This isn't intended as anti-Splunk.  Splunk can do much more than just count URLs (field/string tabulation).

    Splunk is a pretty big (and heavy) tool to implement for a relatively simple task.

    Here are some command line bits that can help do the same, or similar.

    URL extraction:
    full URL
    pcregrep -Mo 'url="(.*?)"'

    host portion of URL
    pcregrep -Mo 'url="https?://(.*?)/'


    Example usage where 192.168.2.101 is the IP of interest and the requests are tabulated with the highest count first:
     cat /var/log/http.log | grep -F 'srcip="192.168.2.101"' | pcregrep -Mo 'url="https?://(.*?)/' | sort | uniq -c | sort -rn
  • 0
    The easier way than constantly chasing which exceptions to do are to add mobile devices to the http proxy bypass section.  Because netflix uses a combination of amazon cloud and akamai AND their own cdn the dns names and ips constantly change.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Adding mobile devices to the bypass section is very straight forward.  But wouldn't this require you do this for every mobile device that connects to your network and wants to stream video?

    Concerning Splunk, I actually had it installed - just using it for ALL log aggregation in my house.  Just happened to run a search to get the url values, obviously grep could have just as easily been done.

    Thanks for all the feedback on this thread.  Just installed UTM this weekend and have learned a ton!
  • 0
    not every device has this problem.  I can do netflix fine on my phones and ipad..here it's only the wii that has this issue.  It has to do with dns timeouts inside the proxy at least from what i have seen..support so far has no answer at all.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    well now it is ALL devices that are mobile like wii..ipad..phones..etc etc.  What i've had to do is bput those devices into the http proxy bypass.  I explain it here:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46191

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    So glad I found this thread!  I was having the exact same issue on my Android devices and a slightly different but similar issue when streaming to my Chromecasts.  Rather than adding these devices to my skiplist (because I still wanted web filtering to work on my son's tablet), or chasing down Netflix IP addresses, I created a filter exception skipping antivirus scanning for just those devices that were having trouble.  Web filtering is still enabled for everything, my PC's still have virus scanning enabled, and Netflix is now working on my Android and Chromecast devices.
  • 0 in reply to ewoods
    Sure enough, simply disabling anti-virus per device solves the problem on my android device, and I suspect (will post when I confirm) will solve the problem on my Samsung Smart TV.

    I'm (perhaps naively) not so much worried about additional anti-virus hitting the TV, but Android and iOS devices could certainly benefit from this.

    It seems to me that if streaming is supposed to not be subject to AV checks (yes, I have that box checked off), and if Netflix requires us to disable AV scans on devices in order for us to work, then either:
    A) Netflix isn't a streaming service, ;-)  or
    B) We need to find a way to identify what Netflix APPS are doing differently (i.e. on Smart TVs, Android, iOS...) and add that to the definition of "Streaming" in UTM.
    Interestingly enough, I just tried the Netflix app on my Windows 8.1 phone - no exceptions in UTM, and definitely on WiFi, and it worked fine.

    Any thoughts?
  • 0
    I am in Austria and the IP address I had to set on AV exception is 198.38.116.131
Unfiltered HTML