[pix] icmp permit any unreachable outside

icmp permit any unreachable outside
    
ICMP 到達不能メッセージ タイプ(タイプ 3)は、許可することを推奨します。 ICMP 到達不能メッセージを拒否すると、Path MTU Discovery がディセーブルになるため、 IPSec トラフィックPPTPトラフィックが停止される場合があります。 Path MTU Discovery の詳細については、RFC 1195 と RFC 1435 を参照してください。
http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sec/pix/cpfcr/chapter06/gl.html Path MTU Discovery(最適MTU値の検索)はICMP unreachableを 用いて行う。 Path MTU Discovery ネットワークでMTUが違うので中継がパケット分割の処理を軽減するため、 通信経路上の最小のMTU値を検索し、最小MTU値を設定する。 http://www.soi.wide.ad.jp/class/20040021/slides/10/22.html ・Path MTU Discovery機能使用時、中継にICMPパケットを破棄してしまうルータがあると  送信元はICMPパケットを待ち続ける羽目になる。(blackhole router )