Quizás esté asumiendo que hay una "denegación predeterminada" implícita:no la hay.
ALL EXCEPT 192.168.122.1 simplemente no se aplica al host 192.168.122.1, por lo que se verifican las entradas posteriores.
Asumiendo que no tienes un antiguo tcpwrappers (es decir, es compatible y se creó con -DHOSTS_ACCESS ) solo deberías usar hosts.allow :
sshd: 192.168.122.1 : DENY
sshd: ALL : ALLOW
(Tenga en cuenta que permitir por defecto es una mala práctica, por supuesto)
Use macros de Vim para automatizar tareas frecuentes
Cómo utilizar la herramienta de línea de comandos sipcalc Linux
¿Es posible tener varias puertas de enlace predeterminadas para las conexiones salientes?
Gran cantidad de conexiones TIME_WAIT dice netstat
¿Cómo consigues que dnsmasq especifique servidores DNS alternativos?
Hacer que rpcbind (anteriormente portmap, puerto 111) sea más seguro
¿Resolver la dirección Mac desde la dirección IP en Linux?
Linux – ¿Software similar a Deep Freeze para Fedora?
¿Cómo puedo encontrar el número total de conexiones TCP para un puerto determinado y un período de tiempo por IP?
¿Cuál es la diferencia entre las cadenas OUTPUT y FORWARD en iptables?
Resolución de la dirección MAC desde la dirección IP en Linux