A primeira ativa o firewall statefull. Sempre que um pacote passa, saindo para abrir uma conexão, o firewall anota que a conexão está aberta (ESTABLISHED), liberando automaticamente que os pacotes voltem, no sentido contrário. Nos casos em que uma conexão faz com que a máquina do outro lado tente abrir uma conexão reversa (leia-se aí FTP), ele libera automaticamente essa conexão também.
A segunda só bloqueia os pacotes que chegam se eles forem pacotes de pedido de abertura de conexão.
Não sei se vc entendeu, mas o teu erro nessas regras é que você está bloqueando os pacotes de retorno, nas conexões que você abre de dentro pra fora. As duas regras que eu passei são formas de corrigir esse erro.