что означает «-m tcp» в этом правиле iptables?

Конфигурация брандмауэра, написанная system-config-firewall

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

в руководство Это необычный, но безобидный явный вызов tcp модуль iptables; этот модуль неявно вызывается, когда -p tcp (Протокол TCP) указан и работает только когда -p tcp в любом случае указывается, но, видимо, тот, кто писал генератор правил system-config-firewall, верил в теорию надежности пояса и подвесок.

Со страницы руководства iptables:

-m, --match match

Указывает соответствие для использования, то есть модуль расширения, который проверяет определенное свойство. Набор совпадений составляет условие, при котором вызывается цель. Совпадения оцениваются с начала до последнего, как указано в командной строке, и работают в режиме короткого замыкания, т. Е. Если одно расширение дает значение false, оценка будет остановлена.

В этом случае TCP match используется.

Что оно делает:

TCP соответствует

Эти совпадения зависят от протокола и доступны только при работе с TCP-пакетами и потоками. Чтобы использовать эти совпадения, вам нужно указать --protocol tcp в командной строке, прежде чем пытаться их использовать. Обратите внимание, что --protocol tcp совпадение должно быть слева от конкретного совпадения протокола. Эти совпадения загружаются неявным образом, точно так же, как совпадения UDP и ICMP загружаются неявно. Другие совпадения будут рассмотрены в продолжении этого раздела, после раздела соответствия TCP.