N'utilisez pas DROP, qui est facilement identifié comme "filtré" si vous savez que la boîte est en place. Au lieu de cela, vous pouvez utiliser ce qui suit pour envoyer un RST. (comme s'il y avait un service à l'écoute, mais qu'il n'accepte pas les connexions de votre part)
-A INPUT -p tcp -m tcp --dport 22 -j REJECT --reject-with tcp-reset
Sinon, utilisez simplement ce qui suit pour donner l'impression que le port est fermé. (comme s'il n'y avait aucun service à l'écoute)
-A INPUT -p tcp -m tcp --dport 22 -j REJECT
-A INPUT -p tcp -m tcp --dport 995 -j REJECT --reject-with tcp-reset
devrait faire ce que vous voulez (répondre avec RST).