tcp wrapper와 iptables에 관한 질문입니다.

특정 아이피만 sshd를 허용하고 모든 ip에 대하여 거부할경우 예를들어
hosts.allow에는 sshd:121.62.128.115 로 설정하고
hosts.deny에는 ALL:ALL로 설정하여 사용하고 있습니다.

또 iptables에는
Jan 26 15:43:36 skypia sshd[21789]: refused connect from ::ffff:64.139.28.236 (::ffff:64.139.28.236)
Jan 26 15:49:58 skypia sshd[21869]: refused connect from ::ffff:64.139.28.236 (::ffff:64.139.28.236)
처럼 ssh접속을 지속적으로 시도하는 ip에 대해서는 계속 모니터를 하여
iptables에 -A INPUT -s 64.139.28.0/24 -j DROP 거부정책을 추가하여 해킹을 막고 있습니다.

이럴경우 tcp wrapper에 설정된 내용과 iptables에 설정된 내용중 어느것이 먼저 실행이 되는지요?
tcp wrapper의 경우 hosts.allow 가 먼저 적용되고 뒤에 hosts.deny가 적용되는건 알겠는데 iptables설정내용이 먼저 적용되는지
tcp wrapper가 먼저 적용되는지 알고 싶습니다.
또 tcp wrapper기능이 제대로 작동된다면 사실 iptables에 설정된 내용들은
아무런 의미가 없는것이 아닌가 하는 생각이 듭니다.

그런데도 불구하고 설정방법도 까다롭고 어려운 iptables를 굳이 왜 사용 하는지 알고 싶습니다.
몇차례 해킹으로 곤욕을 치르고 나서인지 별별 생각이 다 드는군요.