Opera Turbo Mode

Turbo mode basically uses an internet proxy server that does compression.  You still are going through the UTM transparent but all it sees is connections to another proxy.

A quick search suggests that blocking global-turbo-1.opera-mini.net might do it.  But you may be better off just turning it on, watching the logs for traffic from that IP address, and blocking that.

BTW, I believe Chrome has a “Reduce data usage” feature which does the same thing.

I have a ticket opened for support to look at this

Opera users can now bypass country blocking, browse ****, malicious sites and torrent sites...all the good stuff

In web filter log I see this but the page loads...

2015:09:10-15:28:57 no16 httpproxy[8112]: id="0061" severity="info" sys="SecureWeb" sub="http" name="web request blocked, reputation limit" action="block" method="GET" srcip="REMOVED BY ME" dstip="" user="" ad_domain="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdf395000" url="www.ckb.ie/.../Computer Crime"

Michael, global-turbo-0.opera-mini.net and global-turbo-2.opera-mini.net are also needed.  After that, the following just returned "unknown host"

for i in {0..20}; do ping -c1 global-turbo-$i.opera-mini.net; done

I submitted all three FQDNs with a recategorization suggestion that includes "Anonymizers."

Cheers - Bob

I must be missing something, even with all three sites specifically blocked Opera Turbo still bypasses the filter

Have you also added a "Drop" rule in Firewall?

Cheers - Bob

Port 80 and 443 are blocked anyway, we rely on the web proxy overriding the firewall rule. So all I have allowed out is DNS from DCs and a few other things like Plesk but limited to hosted serve IPs. I even created a specific top level drop ALL rule from test device IP just to check

I'm guessing that, like other apps, it's getting out over a different port, so that you would need to drop traffic to DNS Hosts for all three FQDNs.  Please start with the rule being "Allow" with logging to see what's going out now and share that with us here.

Cheers - Bob

Sophos Support finally cracked this

When making the initial request in turbo mode the browser makes 2 DNS requests
1) sitecheck2.opera.com
2) opera-15-turbo.opera-mini.net

You can block sitecheck2.opera.com in UTM  filter policy and that will prevent forbidden https sites loading (e.g. https://kat.cr) but plain sites like ExtraTorrent.cc The World's Largest BitTorrent System would still work. The answer was to create a DNS sinkhole for opera-mini.net. Doing this pushes the request back to sitecheck2.opera.com which is blocked

Problem fixed...!

More a theoretical problem for us with a few Mac users who could drag install Opera without admin rights but it shows Sophos support is coming back to what we used to experience. They took the ticket, managed it, escalated it and the senior engineer was dedicated to fixing it. 

Greg Hammond@Sophos...Thanks for restoring my faith in UTM support!