Graças a jurez, eu percebi isso. Se eu estiver adicionando as regras ACCEPT e DROP à mesma lista, as regras ACCEPT adicionadas antes das regras DROP terão precedência.
A ordem das operações pode não ser totalmente correta ou convencional, mas essa configuração funciona se eu estou tentando permitir 123.123.123.123 mas bloquear o restante de 123.123.0.0 para 123.123.255.255 : por exemplo,
iptables -A EC2BLOCK -i eth0 -s 123.123.123.123 -j ACCEPT
iptables -t filter -A EC2BLOCK -s 123.123.0.0/16 -j DROP
iptables -I INPUT -j EC2BLOCK