linux中有iptables和tcp_wrappers防火墙，iptables防火墙原理为三个表（mangle、nat和filter）五个链（PREROUTING、INPUT、FORWORDING、OUTPUT、POSTROUTING）控制数据流量。tcp_wrapper防火墙的由hosts.allow和hosts.deny两个配置文件决定数据转发。

数据访问linux系统首先匹配hosts.allow文件，如果源IP及port能够满足.allow的条件则直接接收或转发。如果没有在hosts.allow中的匹配条目中，则系统检查hosts.deny配置文件。如果能够匹配到hosts.deny中的条目，则拒绝。

hosts.allow#service：host(s)  [:action]sshd:ALL:allow        :allow 可以省略

hosts.deny文件同理。