En klar ulempe med regelsettet som det står akkurat nå, er at feilsøkingskommandoene ping og traceroute ikke vil virke. Det er ikke sikkert at det betyr spesielt mye for brukerne dine, og siden det var ping som skremte folk til å blokkere for ICMP i utgangspunktet, finnes det tydeligvis mennesker som mener vi har det bedre uten. Du som er i målgruppen her, vil nok trives bedre når disse feilsøkingsverktøyene er tilgjengelige. Et par små tillegg i regelsettet ditt vil gi deg dem. ping bruker ICMP, og for å gjøre det ryddig lager vi først en makro:
icmp_typer = "echoreq"
og en regel som bruker definisjonen
pass inet proto icmp all icmp-type $icmp_typer keep state
Det kan være at du får behov for å slippe gjennom flere eller andre typer ICMP-pakker. Da kan du utvide icmp_typer til en liste som inneholder de typene du vil tillate.