Eu percebi as coisas. Por um lado, depois que eu adicionei a regra iptable, precisei REINICIALIZAR meu telefone para que ele fosse aplicado (o que eu não estava fazendo). Em segundo lugar, eu precisava usar o endereço MAC da LAN (NÃO o endereço MAC do BSSID / Wireless) para que a regra do iptable funcionasse.
Em terceiro lugar, eu baixei o AFWall +. Isso me permitiu configurá-lo como administrador para evitar a desinstalação. A única coisa que falta é que o desenvolvedor precisa proteger com senha a remoção do aplicativo como administrador.
Então baixei o Android Terminal Emulator. Para encontrar o endereço MAC da LAN para a conexão que estou tentando bloquear, digitei isso no emulador:
arp -n
Então eu usei o endereço MAC que foi dado no terminal e coloquei essa regra aqui para ser colocada em "scripts personalizados" no firewall:
$IPTABLES -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP