Sua pergunta a por que o serviço iptables é ativado é bem simples de responder:
rpm -q --scripts iptables
...
postinstall scriptlet (using /bin/sh):
/sbin/ldconfig
/sbin/chkconfig --add iptables
o script postinstall incluído nos pacotes RPM chama chkconfig para ativar o serviço.
O Yum não oferece uma opção para não executar scripts de pós-instalação, mas rpm
faz o download do rpm antes de instalá-lo manualmente.
yumdownloader iptables
rpm -i --noscripts iptables.x86_64.x.y-z.rpm