1、这个不难理解，数据交换首先要通过防火墙，如果iptables进行端口或者协议约束你是无法使用服务的。

1、通过全局配置文件进行访问控制，进入的请求首先被xinetd接管，目录为/etc/xinetd.conf。期中两个主要参数为only_from和 no_access。前者支持网段定义，后者精确主机IP。

2、细节化单个服务配置，前面说到集成服务都在目录/etc/xinetd.d /下，每个文件都是一个脚本，控制开启关闭以及相应配置。例如/etc/xinetd.d/krb5-telnet这就是telnet的脚本文件，同样支持only_from和no_access参数，不再赘述。

1、匹配完前两项如果通过的话，Linux 系统会查询服务是否支持warppers配置，例如手动检查ssh服务源码是否支持warppers可以用ldd ￥（which sshd） |grep warppers命令检查。如果含有，Linux会继续读取/etc/hosts.allow和/etc/hosts.deny文件。

2、 hosts.allow和hosts.deny文件读取规则可以用Cisco路由器的ACL来解释。我们举两个代表性例子分析下：

（1）allow 设置：sshd：ALL EXCEPT 192.168.0.1/24：ALL sshd：ALL EXCEPT .beyondst.info：ALL ，deny不设置。这时结果是什么呢？虽然有EXCEPT，但deny没有明确阻止，所以0.1和beyondst.info都也可以连接到本机ssh。

（2）allow 不设置，deny设置：sshd：192.168.0.1/24：spawn echo “date %c” >>sshd.log。这时0.1 登陆本机会提示:ssh_exchange_identification -: Connection closed by remote host。