Exception rule for Netflix streaming?

Hi!

Got complaints from my father about the Netflix issue. Sorted out a brute force regexp to fix it. It works, while not pretty..

Add this line to your other "typical" Netflix lines, if you want. But as this is IP independent, dont use it in production security systems. For my fathers fw it is secure enough...

^http(s)?:\/\/[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}/(range/[0-9]{1,10}-[0-9]{1,10}/)?\?o=.{1,255}&v=[3-9]{1,1}&e=[0-9]{1,255}&t=.{1,255}(&random=[0-9]{1,20})?

... it can be improved ... but... 

Enjoy!

if i read that correctly you may as well turn off the proxy because that bypasses everything.  If you are going to do this just turn off the proxy altogether....or put his netflix device in the proxy bypass..that way your network is sitll protected while the netflix devicer has  access to netflix.

For my geo location and using comcast as an ISP, I have added this as the only IP based part of my Netflix exemption.

^http?://198\.45\.(4[8-9]|5[0-9]|6[0-3])\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))

I verified via whois that the IP range above is owned by Netflix. Like @William mentioned this will work till Netflix changes something on their end

For my geo location and using comcast as an ISP, I have added this as the only IP based part of my Netflix exemption.

^http?://198\.45\.(4[8-9]|5[0-9]|6[0-3])\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))

I verified via whois that the IP range above is owned by Netflix. Like @William mentioned this will work till Netflix changes something on their end

the issue isn't netflix....it's an internal issue to the http proxy.

the issue isn't netflix....it's an internal issue to the http proxy.

@William, Thank you for the correction. I took a peak at 9.204-19 notes and there is no mention of a fix in there for the proxy.

...I have made sophos aware of the issue and i am working with getting this escalated.  For right now this is the only working thing.  I have not had this issue on any of my desktops..it has been only mobile devices.

9.206-25 apparently didn't bring any light to the NetFlix proxy issue.  (but was hoping so) William, any updates from Sophos Support?  I also notice that movie previews and such also suffer from this issue on my Apple TV do to the same thing.  

Thanks!

I noticed that netflix started using underscores in their URLs. I don't believe the posted REGEX here included the underscores in URLs. I've added that in, and seems to be working now. Looking at my live log all the netflix addresses seem to be resolving OK to a FQDN (not IP). 

^https?://([A-Za-z0-9.-_]*\.)?nflximg\.com
^https?://([A-Za-z0-9.-_]*\.)?nflxvideo\.net
^https?://([A-Za-z0-9.-_]*\.)?netflix\.com

i'll try this regex and report back..[:)]

nopers on the ipad and wii i still get resolutions to 108.175.34.195 
C:\Users\William>nslookup 108.175.34.195
Server:  virthost.ecc.local
Address:  192.168.255.2

Name:    ipv4_1.lagg0.c091.iad001.ix.nflxvideo.net
Address:  108.175.34.195
Here's hte full livelog line:

2014:09:20-07:46:14 etcutm httpproxy[14034]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.255.70" dstip="108.175.34.195" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="65536" request="0x8973cb0" url="108.175.34.195/.../0-65535

Because the system doesn't resolve dns properly it gets categorized as http which means all of the bypasses and exceptions don't work.  This is the only area i'm seeing internal resolution problems like this so it is clearly a dns resolution problem within the proxy itself.  I've presented this to support ate length and ad nauseum to be blown off.  I'm sticking with the proxy bypass for mobile and that is the only thing that works.

my dns is working fine the proxy however not so much.  Support is still maintaining nothing is wrong so i don't think they are..or can fix this issue.  Putting anything mobile into the proxy bypass is the way to go for the forseeable future.

BTW that was nsookup from my AD server.  Here is the nslookup from the utm itself:
etcutm:/root # nslookup 108.175.34.195
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
195.34.175.108.in-addr.arpa     name = ipv4_1.lagg0.c091.iad001.ix.nflxvideo.net.

For some reason the proxy itself doesn't either do resolution correctly or never requests the fqdn for anything that is a mobile device.  I don't know why and support isn't interested in the issue either..[:(]