Non utilizzare DROP, che è facilmente identificabile come "filtrato" se sai che la casella è attiva. Invece, puoi utilizzare quanto segue per inviare un RST. (come se ci fosse un servizio in ascolto, ma non accetta connessioni da te)
-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset
Oppure usa semplicemente quanto segue per far sembrare chiusa la porta. (come se non ci fosse alcun servizio in ascolto)
-A INPUT -p tcp -m tcp --dport 22 -j REJECT
-A INPUT -p tcp -m tcp --dport 995 -j REJECT --reject-with tcp-reset
dovrebbe fare quello che vuoi (rispondi con RST).