Standardmäßig ist bei der Cisco ASA einlaufender ICMP Verkehr verboten. Ausgehender ICMP Verkehr ist wiederum erlaubt, allerdings wird das rücklaufende Packet, der PONG geschluckt. Wie erlaubt der Admin nun ICMP Verkehr, so dass alle Clienets, die an der ASA angeschlossen sind, frei pingen dürfen? Man legt eine Access-List an, die entsprechend den ICMP Verkehr zulässt, den man haben möchte. Diese Access-List muss an das Interface zum Internet, meist outside genannt angeknüpft werden, damit sie dort wirkt. Damit wird der einlaufende ICMP Verkahr erlaubt. Unten stehen die Befehle für die IOS Konsole.

asa# access-list 101 permit icmp any any echo-reply
asa# access-list 101 permit icmp any any source-quench
asa# access-list 101 permit icmp any any unreachable
asa# access-list 101 permit icmp any any time-exceeded
asa# access-group 101 in interface outside

Hat der Admin das outside Interface anders benannt, muss hier statt outside der richtige Bezeichner verwendet werden. In dem Beispiel oben, wird mehr als nur der Ping erlaubt. Wozu die einzelnen ICMP Typen gut sind, verrät das entsprechende RFC792.