Насколько я знаю, если один и тот же IP находится на обоих /etc/hosts.deny и /etc/hosts.allow, тогда будет предоставлен доступ. Чтобы заставить отказаться, вы должны убедиться, что скрипт, который добавляет /etc/hosts.deny, удаляет IP из /etc/hosts.allow.