あんまりデーモンだとか難しいことは抜きにして、要はルータ(の設定ファイル)のことだと思ってます。よくルータを買ってくると、"WANからXXX番ポートへの要求はLAN内のMACアドレスYYYに渡す"、というような設定項目ありますね。つまり、インターネットを介してサーバにアクセスしてきたコンピュータの要求をどう処理するか、又は、自宅内にからサーバにアクセスしてきたコンピュータの要求をどう処理するか。このようなことをiptablesは行っているんだと思っています。