Aqui está um tutorial: link
Para resumir:
# Allow packets for existing connections (this is required for replies
# from the internet to connections you initiate from the vps):
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Allow connecting to SSH, the established session is handled above:
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# Allow connecting to the VPN server, assuming default OpenVPN w/ TCP:
iptables -A INPUT -p tcp --dport openvpn -j ACCEPT
# Does anybody need to ping you? If you never want to do that:
# iptables -A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP
#
# (Almost) All other ICMP is important, don't bother trying to make exceptions:
iptables -A INPUT -p icmp -j ACCEPT
# If you run OpenVPN in UDP mode, want to run traceroute to yourself,
# or use NFS over UDP, accept them here. Remember to explicitly allow replies,
# for services you access.
# Drop everything else. Two ways to do this:
# The common catch-all rule, which makes adding rules later harder
# (need to "-I"nsert instead of "-A"ppend; order matters!):
# iptables -A INPUT -j DROP
#
# Alternatively, set the default policy:
iptables -P INPUT DROP
No entanto, não sei o que você compra. Os pacotes de digitalização entrarão na sua interface de rede de qualquer maneira, então você só salva as respostas de saída "nada que escuta nesta porta" (se alguma coisa estiver ouvindo: se você não precisar, desligue-a e, se precisar, precisará permitir o acesso de qualquer maneira), e com algumas portas abertas, você não vai ficar invisível de qualquer maneira.
Ainda assim, boa sorte. Lembre-se de que é fácil bloquear-se acidentalmente e prosseguir com cuidado.