Acontece que o problema era minha segunda regra:
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
Tolamente eu não verifiquei novamente as interfaces no VPS e, como é baseado no OpenVZ, uma interface vm interna tinha o endereço 127.0.0.2, mas não era tecnicamente o loopback que acionava essa regra.
EDITAR: Não; Eu estou errado de novo! Descobriu-se, finalmente, que meu VPS permitia a inserção de regras baseadas em estado, mas nunca correspondia a elas, de modo que conexões estabelecidas eram descartadas quando eu definia a política como DROP.