>Всем спасибо за участие, но у меня задача поставленна так, чтобы можно
>было трасировку делать из внутренней сети наружу, но нельзя делать трасировку
>извне ко мне...
>т.е. как я понял необходимо пропускать исходящие UDP пакеты и входящие ICMP,
>но блокировать входящий UDP трафик не заданный явно (DNS, ICQ -
>явно разрешить) и исходящий ICMP (особенно 30).
>Я правильно понимаю?

traceroute может работать используя udp или icmp протокол.
Для udp:
${fwcmd} add pass udp from ${my_network} to any 33434-33625 keep-state

Для icmp (типы 0,3,4,8,11,12):
${fwcmd} add pass icmp from any to any icmptypes 0,3,4,8,11,12