Краткий ответ: нельзя.
Если на ваш внешний IP адрес, то есть на ваш пограничный роутер приходит пакет, вы в принципе может сделать с ним две вещи: принять (и например переправить на сервер в домашней сети) или не принять (дропнуть). И в том и в другом случае пакет уже пришел к вам и уже занял часть пропускной способности вашего канала. Больше никакого контроля над входящим трафиком у вас нет. Атакующий может забить ваш канал SYN пакетами на любой порт, хоть открытый, хоть закрытый. Именно поэтому DDoS работает.
Единственный способ сделать так, чтобы эти пакеты не занимали ваш канал, это не посылать их туда, то есть дропать еще раньше, на роутере провайдера. И если вас действительно начнут досить, то провайдер сделает это, будьте уверены! Он отрубит ваш линк гораздо раньше, чем забьется ваш канал.