A bug fix and a documentation update to the relay functionality

The HIP and ESP relay functionality are located in hipd and hipfw. The
former forwards control plane and the latter data plane to overcome
NAT devices that do not support e.g. Teredo-based penetration. This
functionality was broken twice in hipfw.

Firstly, a relay registration failed because the hipfw code didn't
distinguish between a registration (destination HIT is the relay) and
a relayed connection (destination HIT is not the relay). Now it does
again.

Secondly, the relay failed to forward the ESP data plane due to an
initialisation failure. The hipfw initialised the corresponding
iptables rules when it received a message from hipd indicating that
the relay was enabled. While this supported dynamic initialisation,
the hipfw had already lowered its privileges and consquently executing
iptables failed.

One possible way to solve the second issue would have been to require
omitting privilege downgrade when using the relay but this would have
been a bad idea from the view point of security. So, I decided to
change the dynamic relay configuration option into a static command
line option to avoid the chicken-and-egg problem with the hipfw. Now
the HIP vs. ESP relay functionality is also decoupled which I believe
is marginally more useful. This now identified in a more clear way in
the manual as well.