Esta regra permite conexões de 99.88.77.66, não impede conexões de algum outro lugar. Para fazer isso, você deve ter uma regra que padronize o DROP para todas as conexões de entrada
iptables -P INPUT DROP
e prossegue para permitir apenas aqueles que você deseja explicitamente. Alternativamente, você pode fechar a porta 3306 especificamente para todos os clientes que não são 99.88.77.66
iptables -A INPUT -i eth0 -s ! 99.88.77.66 -p tcp --destination-port 3306 -j DROP