Pesquisando ao redor, não consegui determinar a melhor prática para o ICMP em um firewall.
Por exemplo, em um Cisco ASA, seria seguro e recomendado permitir o ICMP de qualquer um se a inspeção do ICMP estiver ativada. Isso permitiria que coisas como o tipo 3 inacessíveis voltassem aos clientes.