简单的说，配置文件有两个 /etc/hosts.allow 和 /etc/hosts.deny

从名字都猜的出来，放在allow里面的设定默认就是允许的； 放在deny里面默认就是拒绝的；如果两者的设定都不满足或者都没配置，那服务默认也是允许的。

基本格式是

daemon1,daemon2, daemon3.. : client1, client2, client3.. : option1, option2,..

如果觉得麻烦，在任何一个文件里面，明确的表明 allow 或者 deny也是可以的。比如，我可以在hosts.allow 文件里面做以下定义，拒绝来自172.0.10.223的ssh请求

测试看看，果然被拒绝了。

把deny去掉或者改成 allow也行

再试试看，又可以连接了

不过不是所有的服务都可以用tcp wrapper来实现的，只有连接了libwrap模块的daemon才可以。

比如 httpd就没有

但是sshd就可以

接下来看看重头戏，firewalld的使用。从RHEL7里面，默认的防火墙不再是iptables，而是firewalld，尽管他的底层还是iptables。