o que significa "-m tcp" nesta regra do iptables?

Configuração de firewall escrita por system-config-firewall

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

De acordo com o manual , é uma invocação explícita incomum, mas inofensiva, do tcpmódulo iptables; esse módulo é invocado implicitamente quando -p tcp(protocolo TCP) é especificado e só funciona quando -p tcpespecificado de qualquer maneira, mas aparentemente quem escreveu o gerador de regras do firewall de configuração do sistema acreditava na teoria da confiabilidade de correias e suspensórios.

Na página de manual do iptables:

-m, --match match

Especifica uma correspondência a ser usada, ou seja, um módulo de extensão que testa uma propriedade específica. O conjunto de correspondências compõe a condição sob a qual um destino é chamado. As correspondências são avaliadas primeiro a durar, conforme especificado na linha de comando e funcionam em curto-circuito, ou seja, se uma extensão resultar falsa, a avaliação será interrompida.

Neste caso TCP matchestá sendo usado.

O que faz:

Correspondências TCP

Essas correspondências são específicas do protocolo e estão disponíveis apenas ao trabalhar com pacotes e fluxos TCP. Para usar essas correspondências, é necessário especificar --protocol tcpna linha de comando antes de tentar usá-las. Observe que a --protocol tcpcorrespondência deve estar à esquerda das correspondências específicas do protocolo. Essas correspondências são carregadas implicitamente em certo sentido, assim como as correspondências UDP e ICMP são carregadas implicitamente. As outras correspondências serão examinadas na continuação desta seção, após a seção de correspondências do TCP.