Mencari di sekitar Saya belum bisa menentukan praktik terbaik untuk ICMP pada firewall.
Sebagai contoh pada Cisco ASA apakah aman dan direkomendasikan untuk mengizinkan ICMP dari apa saja jika inspeksi ICMP diaktifkan. Ini kemudian akan memungkinkan hal-hal seperti tipe 3 yang tidak terjangkau untuk membuatnya kembali ke klien.
Tidak, ICMP tidak boleh diblokir. Ini protokol pensinyalan yang vital. Internet tidak berfungsi tanpa itu.
PMTUD rusak jika Anda menjatuhkan ICMP.
IPv6 bahkan tidak mulai bekerja tanpa ICMP, karena resolusi alamat L3 ke L2 (ARP di IPV4) naik di atas ICMP di IPv6.
Pemecahan masalah juga akan memakan waktu lebih lama jika gema ICMP dijatuhkan. Sayangnya sering orang-orang FW yang melatih pemikiran tampaknya 'ketika ragu-ragu, jatuh'.
Anda menggunakan FW karena jaringan di dalam Anda memiliki layanan yang tidak memerlukan auth atau host yang tidak dikelola yang menjalankan perangkat lunak yang rentan. ICMP benar-benar bukan vektor serangan praktis.