¿Qué significa "-m tcp" en esta regla de iptables?

Configuración de firewall escrita por system-config-firewall

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

Según el manual , es una invocación explícita inusual pero inofensiva del tcpmódulo iptables; este módulo se invoca implícitamente cuando -p tcpse especifica (protocolo TCP), y solo funciona cuando -p tcpse especifica de todos modos, pero aparentemente quien escribió el generador de reglas de system-config-firewall creía en la teoría de la fiabilidad de los cinturones y tirantes.

Desde la página del manual de iptables:

-m, --match match

Especifica una coincidencia para usar, es decir, un módulo de extensión que prueba una propiedad específica. El conjunto de coincidencias conforma la condición bajo la cual se invoca un objetivo. Las coincidencias se evalúan primero a último según lo especificado en la línea de comando y funcionan en forma de cortocircuito, es decir, si una extensión produce falso, la evaluación se detendrá.

En este caso TCP matchse está utilizando.

Que hace:

TCP coincide

Estas coincidencias son específicas del protocolo y solo están disponibles cuando se trabaja con paquetes y transmisiones TCP. Para usar estas coincidencias, debe especificar --protocol tcpen la línea de comandos antes de intentar usarlas. Tenga en cuenta que la --protocol tcpcoincidencia debe estar a la izquierda de las coincidencias específicas del protocolo. Estas coincidencias se cargan implícitamente en cierto sentido, al igual que las coincidencias UDP e ICMP se cargan implícitamente. Las otras coincidencias se revisarán en la continuación de esta sección, después de la sección de coincidencias TCP.