Sim para alguns protocolos. Não para os outros. A resposta é que depende do tipo de tráfego "normal" para o seu ambiente.
Pense na navegação na Web (e vamos apenas concordar por um momento que é representativo do tráfego normal da Internet para um escritório):
Eu quero olhar para esta questão, então eu conecto ao serverfault.com e vou
GET questions/361329 HTTP/1.1
host: serverfault.com
Tamanho total do meu tráfego de saída (solicitação): talvez 1K se incluirmos toda a sobrecarga de protocolo e solicitações adicionais que meu navegador fará para imagens e coisas do tipo.
O servidor serverfault.com mastiga meu pedido e retorna várias centenas de KB de HTML, imagens, etc.
Tráfego de saída: 1k. Tráfego de entrada: 19k (a partir desse cólon).
Se você é o servidor metade dessa equação, é normal que seu tráfego de saída exceda em muito o tráfego de entrada. Dê uma olhada neste gráfico da rede de hospedagem na web de um provedor anônimo:
Agora,seoseutráfegonãoestiverdojeitoquevocêachaquedeveria,umbomsistemademonitoramentodetráfego(oualgunsminutoscomtcpdump
/ethereal
/ etc.) pode lhe dar uma idéia do que está acontecendo, ou pelo menos quem está falando com quem em quais portas.