На какой адрес правильно вешать демонов?

Ведь можно же повесить на локалхост, а потом таблесами разрулить

Но зачем? Если вы админ локалхоста, то ничего делать вообще не надо - оставьте все как есть и закройте ненужные порты.

Зависит от сервиса и задачи.
Если ламп с сайтиком, то 0.0.0.0 и пофигу.

Ведь можно же повесить на локалхост, а потом таблесами разрулить, или 0.0.0.0 - норм.

DNAT - это не разрулить. Это можно применять, но не нужно.

Я поступаю по обстоятельствам - обычно вешаю либо на 0.0.0.0 либо на 127.0.0.1(если демон никому кроме локалхоста не нужен, а работать с UNIX-сокетами утилиты управления не умеют). Порты закрываю традиционно - файрволлом

повесить на локалхост, а потом таблесами разрулить

Это называется «выстрелить со спины через грудь, сквозь ногу в глаз».

зависит от задачи, не?

prerouting с локалхостом не работает, надо пользоваться redirect'ом?

Не понял, что вы хотели этим скзать, PREROUTING это цепочка, а REDIRECT это цель правила в iptables, советую прочитать man iptables, там ясно сказано, что REDIRECT перенаправляет пакеты на разные ip-адреса (в зависимости от того, с какого интерфейса пришёл пакет), и это подразумевает, что демон слушает на всех интерфейсах.

повесить на локалхост

Если под localhost подразумевается адрес 127.0.0.1 то на него можно разрулить только трафик с 127.0.0.0/8, остальные пакеты, у которых один адрес 127.0.0.0/8, а другой адрес из маршрутизируемых сетей, признаются ядром «марсианскими» и уничтожаются. Поэтому если демон должен общаться с чем-то через сеть (а не через loopback), и не хочется 0.0.0.0, демона нужно вешать на какой-то маршрутизируемый ip-адрес и, если надо, помогать DNAT.