Exception rule for Netflix streaming?

I just tried the "AppleCoreMedia" workaround, and it works for me. And conceptually, I like it better than the solutions others have advocated, such as adding the device to the transparent skiplist, or adding an exception for multiple websites.

That fixes IOS but not Wii and i have not tested if they fixed the miscalssification of traffic due to rdns not working in the proxy.

I also have this issue, the AppleCoreMedia fixes for IOS devices. I have some Nooks and a BlueRay player and from watching the traffic logs the streaming is going only to an ip address. It seems that some devices won't do a name resolution and will only stream the data to an IP address. So the only way is to exclude via the IP address. 
This was hitting and IP on Range 23.246.0.0 - 23.246.63.255 CIDR: 23.246.0.0/18 NetName: NETFLIX-SS-3

Above is the Arin lookup for this range, as it does apply to NetFlix. Below is the filter rule that works for my devices. 

^https?://23\.246\.([0-9]|[1-5][0-9]|6[0-3])\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))

excepting the ip address won't work because that ip changes with it being a cdn.  HOwever i'll add this to my escalation ticket you have just proved my point for me..thanks..[:)]

Yes you are correct about the ip changes based on CDN network. I had to add these two ranges today in order for it to stream on my DVD player.

^https?://198\.38\.(9[6-9]|1([0-1][0-9]|2[0-7]))\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))
^https?://198\.45\.(4[8-9]|5[0-9]|6[0-3])\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))

it's how cdn's work.  i'm arranging a packet capture with escalation to further troubleshooting.

That fixes IOS but not Wii and i have not tested if they fixed the miscalssification of traffic due to rdns not working in the proxy.

Maybe you are able to get the "User Agent" string of the Wii (and some other devices like Firetv or any other TV/device) when accessing Netflix.

Unfortunately i have no idea how to trace this.
Any tips?

bad news on the UA settings from what I can tell:

iPad2:
netflix app - browsing
  ua="netflix-ios-app"
netflix app - streaming
  ua="AppleCoreMedia/1.0.0.11D201 (iPad; U; CPU OS 7_1_1 like Mac OS X; en_gb)"

Nexus 7:
netflix app - browsing
  ua="Dalvik/1.6.0 (Linux; U; Android 4.4.4; Nexus 7 Build/KTU84P)"
netflix app - streaming
  ua=""

Panasonic DVD
netflix app - browsing
  ua="Gibbon/2013.2.3/2013.2.3: Netflix/4.0.3 (DEVTYPE=PCBD14000M; CERTVER=0)"
netflix app - streaming
  ua=""
 
[:(]

so perhaps Netflix could fix their client(s) to provide a (valid) UA that we can except instead of ""?

@newmy: to see the useragent strings, in your UTM navigate to Web Filtering > Open Live Log.
Towards the end of each row you'll see ua="hopefullysomestuffhere"

the issue is about 50% of netflix traffic gets labeled unclassified due to failure of the http proxy to properly initiate reverse dns on things it sees.  It affects netflix and other streaming services.  the ONLY way to work around this is to put netflix MOBILE(this includes consoles) into the http proxy bypass section.  Otherwise you will be jsut spining your wheels and chasing the ip addies as they cahnge often because netflix uses it's own cdn and amazon aws as a cdn.  I have multiple tickets out with  sophos with escalation telling me i'm wrong when i have proved to them many times they are.  Until sophos wakes up to this issue you have these choices:

1.  put the mobile devices into the http proxy bypass
2.  Turn off the http proxy
3.  Keep building massive ever expanding exception lists forever as the cdn addresses keep changing.

William - many thanks for all your hard work on this. It would be good to get a resolution from Sophos.

My fix is this:
I've set static IP reservations for all the android/other non-working Netflix enabled devices, and put this in a host group.
I've made an AV-bypass only exception for this group, so I don't lose the other controls I have in place.