Осматривая, я не смог определить наилучшую практику для ICMP на брандмауэре.
Например, на Cisco ASA было бы безопасно и рекомендуется разрешить ICMP от любого, если включена проверка ICMP. Это позволило бы таким вещам, как недостижимый тип 3, вернуться к клиентам.