Buscando alrededor no he podido determinar la mejor práctica para ICMP en un firewall.
Por ejemplo, en un ASA de Cisco, sería seguro y recomendable permitir ICMP desde cualquiera si la inspección ICMP está habilitada. Esto permitiría cosas como inalcanzables de tipo 3 para volver a los clientes.