Den enkleste løsningen kan meget vel være å la all ICMP-trafikk fra lokalnettet passere gjennom, og la tilsvarende trafikk fra andre steder stoppe på gatewayen:
pass inet proto icmp icmp-type $icmp_types from \
$localnet to any keep state
pass inet proto icmp icmp-type $icmp_types from any to
$ytre keep stateDet kan uansett være fristende å stoppe informasjonssøking utenfra på gatewayen, men la oss først se litt på noen andre alternativer som viser fleksibiliteten PF gir.