Configuração do firewall escrita por system-config-firewall
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
Por o manual , é uma invocação explícita, mas inofensiva e explícita, do módulo tcp iptables; este módulo é invocado implicitamente quando -p tcp (protocolo TCP) é especificado e só funciona quando -p tcp é especificado de qualquer maneira, mas aparentemente quem escreveu o gerador de regras do system-config-firewall acreditava na teoria de confiabilidade de cinto e suspensórios.
Da página de manual do iptables:
-m, --match match
Specifies a match to use, that is, an extension module that tests for a specific property. The set of matches make up the condition under which a target is invoked. Matches are evaluated first to last as specified on the command line and work in short-circuit fashion, i.e. if one extension yields false, evaluation will stop.
Nesse caso, TCP match está sendo usado.
O que faz:
Correspondências TCP
Essas correspondências são específicas do protocolo e só estão disponíveis quando se trabalha com pacotes e fluxos TCP. Para usar essas correspondências, você precisa especificar --protocol tcp na linha de comando antes de tentar usá-las. Observe que a correspondência --protocol tcp deve estar à esquerda das correspondências específicas do protocolo. Essas correspondências são carregadas implicitamente, assim como as correspondências UDP e ICMP são carregadas implicitamente. As outras correspondências serão examinadas na continuação desta seção, após a seção de correspondência TCP.