Думаю, что не следует закрывать icmp. Это чревато, как минимум, проблемой c определением MTU в случае необходимости. Ещё есть проблема с диагностикой канала со стороны, например, интернет-провайдера из-за закрытого icmp echo.
По поводу icmp echo, если таки хочется его закрыть, можно, как вариант, открыть для сетей, для которых созданы интерфейсы и для default gw (или только для default gw). Может быть, стоит создать для этого отдельную цепочку, которую править по крону или событию IP UP. Динамическая модификация для сетей на интерфейсах будет иметь смысл только в случае dhcp и, возможно, openvpn, так как в случае ppp выдаётся адрес с CIDR /32 и такую "сеть" разблокировать бесполезно. "Достали" Microsoft и Касперский со своей политикой блокировки icmp echo, это я как представитель провайдера говорю. ;-)
присоединяюсь к просящему... ;)
