Por que o dispositivo de loopback é necessário em um lado do cliente do Stunnel?

Este guia do Instituto SANS afirma que

"On the client side, a port listening on the loopback interface of the local system would send/receive data on the clear-text protocol and tunnel out on an ephemeral port to connect to the secured port of the remote system"

Curiosamente, isso não é dito sobre o lado do servidor, então minha primeira pergunta é: Esta afirmação é verdadeira para o lado do servidor também?

Em seguida, este guia Instalando stunnel no seu computador com Windows implementa bem a afirmação acima mencionada (I na verdade, seguiu e verificou que está funcionando).

Eu entendo que a seguinte diretiva no arquivo stunnel.conf redireciona o tráfego original (texto não criptografado) da porta 139 para a porta criptografada 1445:

client = yes
[smb]
accept=10.1.1.2:139
connect=samba.cs.umd.edu:1445

Mas eu não entendo como ele faz isso.

Mais especificamente:

1. Por que um adaptador de loopback é necessário para facilitar isso?
2. Por que o endereço IP 10.1.1.2 foi escolhido para a porta 'accept'?
3. O gateway padrão é necessário? (em caso afirmativo, por que / como funciona em um sistema que não possui nenhum gateway padrão especificado para o adaptador de loopback?)