在此iptables规则中，“-m tcp”是什么意思？

由system-config-firewall编写的防火墙配置

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

根据手册，这是对tcpiptables模块的不寻常但无害的显式调用。当-p tcp指定了（TCP协议）时，该模块被隐式调用，并且-p tcp无论如何都仅当指定时，该模块才起作用，但是显然写了system-config-firewall的规则生成器的人相信皮带和悬挂器可靠性理论。

从iptables手册页：

-m, --match match

指定要使用的匹配项，即测试特定属性的扩展模块。匹配项构成了调用目标的条件。匹配将按照命令行中指定的顺序从头到尾进行评估，并且以短路方式工作，即，如果一个扩展产生错误，评估将停止。

在这种情况下TCP match被使用。

它能做什么：

TCP匹配

这些匹配是特定于协议的，仅在使用TCP数据包和流时才可用。要使用这些匹配项，您需要--protocol tcp在命令行上进行指定，然后再尝试使用它们。请注意，--protocol tcp匹配项必须位于协议特定匹配项的左侧。从某种意义上来说，这些匹配项是隐式加载的，就像UDP和ICMP匹配项是隐式加载的一样。其他匹配项将在TCP匹配部分之后的本部分继续中进行介绍。