Se você estiver pingando 10.0.2.2 a partir de 10.0.2.1, então a resposta de ping (para 10.0.2.1 FROM 10.0.2.2), TAMBÉM é um pacote icmp, de modo que corresponda à regra e seja bloqueada.
Para obter o comportamento desejado, altere a regra para:
ipfw add 02000 deny icmp from 10.0.2.2 to 10.0.1.2 icmptypes 8
Em que o tipo 8 é 'echo-request' e o tipo 0 é 'echo-reply'.
Ou adicione uma regra antes de 2000 para permitir apenas respostas e continue a bloquear todos os outros pacotes ICMP:
ipfw add 01999 allow icmp from 10.0.2.2 to 10.0.1.2 icmptypes 0
ipfw add 02000 deny icmp from 10.0.2.2 to 10.0.1.2