Bonjour Flocon.
Ton pare feu gère les paquets entrants et sortants.
Une requête d'apt c'est sortant, même s'il faut qu'il télécharge des paquets pour les mises à jours c'est toujours du sortant.
Le pare feu même réglé sur "entrants refusés" n'interdira pas cela.
apt update va comparer les versions des dépôts de ton sources.list avec celles qui sont installées. Ceci n'est pas forcément fait dès qu'on allume l'ordinateur.
tout dépend du gestionnaire de mise à jour et de comment il est paramétré.
Si tu acceptes la mise à jour (ou lance apt upgrade) alors la oui des paquets seront chargés mais :
toutes les demandes faites par votre PC sont des paquets sortants même si les maj viennent de l'extérieur le demandeur est dans votre PC donc ils sont définis comme accès sortant.
Donc si tu ne veux pas que le gestionnaire de mises à jour (PackageKit, mintupdate,etc...) ou apt cherche et te propose des mises à jour la solution c'est de couper internet. (ou d'interdire les paquets entrants
ET sortants, ou d'arrêter le demon de surveillance des majs, ou de ne pas utiliser apt update)
En fait j'ai beaucoup de mal a cerné ton questionnement à ce sujet, peux tu nous dire ce qui te gène dans ce fonctionnement?