ASA di default non consente il traffico di ICMP, per cui blocca automaticamente il passaggio di pacchetti relativi a ping, trace, e così via. Può essere utile consentirne il traffico attraverso il firewall. Questo si può raggiungere attraverso la definizione di una service policy.

In breve:

ASA(config)# class-map icmp-class
ASA(config-cmap)# match default-inspection-traffic
ASA(config-cmap)# exit
ASA(config)# policy-map icmp_policy
ASA(config-pmap)# class icmp-class
ASA(config-pmap-c)# inspect icmp
ASA(config-pmap-c)# exit
ASA(config)# service-policy icmp_policy interface outside

Per abilitare l’ispezione dell’ICMP su tutto il firewall invece che sulla solo interfaccia outside, si può fare:

ASA(config)# service-policy icmp_policy global