Esta regra funcionou na minha instalação:
iptables -I FORWARD 1 -d [client-ip] -p tcp -m tcp --dport 53 -j DROP
iptables -I FORWARD 1 -d [client-ip] -p udp -m udp --dport 53 -j DROP
Observe que o netfilter lê as regras de cima para baixo e se você tem uma regra permitindo todo o tráfego para esse cliente acima ( iptables -A adiciona regra ao fim do na tabela), essa nova regra não será alcançada e não terá efeito.
Eu não entendi porque você usa o módulo "state" se você listar todos os estados válidos? Ele apenas usa o tempo da CPU e não tem efeito IMHO.
Em seguida, não tenho certeza, qual é o objetivo de bloquear o tráfego, indo da porta 25. Se o cliente envia ab e-mail, ele se conecta à porta 25 do servidor remoto, mas usa um de portas locais (32k..64k por padrão) do seu lado. Você não poderia explicar, o que você quer obter como resultado?