This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exception rule for Netflix streaming?

I have recently started using Netflix again and am having trouble with it streaming to devices behind my UTM. I'm 99% sure it's due to the content filter and requires an exception rule; I have never been good with these rules and am wondering if anyone has created a rule for Netflix already?

I have "Bypass content scanning for streaming content" enabled which has not made a difference. When I add specific devices to the "transparent mode skiplist" they instantly work.


This thread was automatically locked due to age.
  • There's also dns resolution issues within the proxy in regards to streaming services.  If you watch the logs you'll see the dns names and the categorization is correct.  However you'll also see some ip addresses in there..if you do a reverse dns on that ip it will be an ip of a netflix associated server.  This ip will change often..and it causes the categorization to be listed as http defeating the netflix exceptions.  I've reported this bug and been told i'm wrong(I've been told that before..) so right now the only way to deal with problematic streaming services is to put the affected device(99.999% of the time it's a mobile device too)in the http bypass section.  Unfortunately support's reaction has been to close the support cases i've started about this.  Keep the pressure on folks..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Newbie here, same issue with Netflix streaming. Question on the Transparent Mode Skip List as that seems to be looking for a Network Definition while what I'm seeing here are URL definitions. I've added these to the firewall (skipping AV) but no go. AV is definitely the issue as everything works if I turn AV scanning off. I just added netflix.com and netfliximg.com to the Transparent Mode Skip List but no change. Obviously I'm misunderstanding something so any advice is welcome.
  • try to make an exception for AV for those domains,
    there's a difference between the firewall and web filter,
    if web filter is enabled, then the firewall won't handle traffic based on http and https ports
    and they say you have to add the source host to the skip list [;)]
  • Newbie here, same issue with Netflix streaming. Question on the Transparent Mode Skip List as that seems to be looking for a Network Definition while what I'm seeing here are URL definitions. I've added these to the firewall (skipping AV) but no go. AV is definitely the issue as everything works if I turn AV scanning off. I just added netflix.com and netfliximg.com to the Transparent Mode Skip List but no change. Obviously I'm misunderstanding something so any advice is welcome.


    the http proxy skiplist is for INTERNAL machines not external.  so whatever phones or ipads or whatever is having issues put them there.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • My rule list looks like this at this time.  I had to add the last two subnets this week and all is working fine with Web Protection and Antivirus turned on in Transparent mode.  All of my iPhones,iPads and AppleTV's in the house work just fine also without creating a Skip rule for them..

    ^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/
    ^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/
    ^https?://([A-Za-z0-9.-]*\.)?netflix\.com/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*
    ^http?://23.7.139.*
    ^https?://secure\.netflix\.com/*
    ^https?://uiboot\.netflix\.com/*
    ^https?://108.175.41.*
    ^https?://108.175.40.
  • My rule list looks like this at this time.  I had to add the last two subnets this week and all is working fine with Web Protection and Antivirus turned on in Transparent mode.  All of my iPhones,iPads and AppleTV's in the house work just fine also without creating a Skip rule for them..

    ^https?://([A-Za-z0-9.-]*\.)?nflximg\.com\.?/
    ^https?://([A-Za-z0-9.-]*\.)?nflxvideo\.net\.?/
    ^https?://([A-Za-z0-9.-]*\.)?netflix\.com/
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{8}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{9}\.ism
    ^https?://[\d+(\.\d+){3}/]*/[0-9]{10}\.ism
    ^http?://([A-Za-z0-9.-]*\.)?netflix-*.vo.llnwd.net/.*
    ^http?://23.7.139.*
    ^https?://secure\.netflix\.com/*
    ^https?://uiboot\.netflix\.com/*
    ^https?://108.175.41.*
    ^https?://108.175.40.


    until the 108.x.x.x changes then it won't work.  the same for the 23....
    there is a dns resolution problem within the proxy that is causing the need for these massive skiplists.  I'm writing up a highly technical document so it can be sent to their escalation team..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • I appreciate it William.  The 108 subnets do reverse DNS resolve to netflix - glad someone knows what's up with the UTM.  It'd like to simplify the rule set for sure.
  • I'll admit to being not a little confused. We've had what seems to be the dance of the seven veils with several additions to the URL / IP list and people variously saying switch this on or that off. Bob A. also said that some of the URLs in the list were badly formed as well.

    For my part I've imported the list of suggested URLS but I'm still seeing the TV successfully logging on to Netflix and listing programs, it even starts the download of items but they then freeze at 99%. This issue goes away when I lower my last veil and switch off the URL filtering proxy. But that is obviously not a feasible solution in the long run. 

    So....

    To save people's time (and possibly their sanity), it would be really useful to have a final and definitive list of what to switch on/off and which URLs to include in the exception list to get Netflix working without increasing our exposure one millimeter lower than it absolutely needs to be.

    Thanks to everyone who has played a part in leading us towards this solution; whatever it turns out to be.

    Regards JB
  • I'll admit to being not a little confused. We've had what seems to be the dance of the seven veils with several additions to the URL / IP list and people variously saying switch this on or that off. Bob A. also said that some of the URLs in the list were badly formed as well.

    For my part I've imported the list of suggested URLS but I'm still seeing the TV successfully logging on to Netflix and listing programs, it even starts the download of items but they then freeze at 99%. This issue goes away when I lower my last veil and switch off the URL filtering proxy. But that is obviously not a feasible solution in the long run. 

    So....

    To save people's time (and possibly their sanity), it would be really useful to have a final and definitive list of what to switch on/off and which URLs to include in the exception list to get Netflix working without increasing our exposure one millimeter lower than it absolutely needs to be.

    Thanks to everyone who has played a part in leading us towards this solution; whatever it turns out to be.

    Regards JB


    There are more than one issue in play but they all relate to each other.  There is an internal dns resolving problem inside hte proxy that means it fails to properly resolve some of hte ip addies that netflix uses.  If you manually reverse resolve the netflx and other netflix domains come up.  This causes the ip addresses to be classified as http instead of netflix.  If hte categorization was working correctly netflix would sail through as it is a know streaming provider.  This bug tends to affect anything considered mobile by netflix(which is any but a pc).  There is no way to exempt ips for this as the address your machine uses changes due to the addresses changing sometimes by every movie due to latency..load on netflix(and their amazon) backends..routing changes..etc etc etc.  The only way to get this truly working is to put any affected device into the http proxy bypass section.  I have made sophos aware of the issue and i am working with getting this escalated.  For right now this is the only working thing.  I have not had this issue on any of my desktops..it has been only mobile devices.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Thanks William and thanks for owning the problem on our behalf. 

    I've done the bypass for the TV & DVR and it is working again. I'll subscribe & Keep an eye on this thread.

    JB