Például a "Redirect" ICMP üzeneteket nem célszerű elfogadni boldog-boldogtalantól.
Ráadásul a 41-255 type-ok jelenleg reserved, de később kaphatnak funkciót és ki tudja mit, ezért célszerű azokat is tiltani.
Ilyen például az IPv6-os kapcsolatok is, nem egyszer láttam, hogy IPv4-es tűzfal be volt állítva, de az IPv6-on semmi, tárva nyitva minden, miközben a gépnek volt is IPv6-os címe, az összes szolgáltatás bind-olt rá.
Mindennek fényében szerintem célszerű mindent tiltani (IPv4, IPv6) és engedni csak azt ami kell, így később nem érhet meglepetés, vagy legalábbis kisebb az esély rá.