A camada de rede IP não sabe se um tcpwrapper está bloqueando a conexão. Mesmo quando tcpwrapper bloqueia, a porta de rede aparecerá como "aberta". Exemplo com sshd bloqueado via hosts_access :
$ nc -w1 -v -z host.example.org 1234 nc: host.example.org (192.168.0.130) 1234 [1234] open $ ssh -p 1234 host.example.org ssh_exchange_identification: read: Connection reset by peer
Um firewall baseado em IP, por outro lado, bloquearia (na maioria dos casos) a conexão no nível da rede e a porta apareceria como "fechada".