diff --git a/facts/firewall.md b/facts/firewall.md
index afd0658..c1cfc2a 100644
--- a/facts/firewall.md
+++ b/facts/firewall.md
@@ -36,10 +36,11 @@ Subnet'ler: app `10.10.10.0/24`, db `10.10.20.0/24`
 | 22 | TCP | admin CIDRs | SSH |
 | 80 | TCP | 0.0.0.0/0, ::/0 | HTTP public |
 | 443 | TCP | 0.0.0.0/0, ::/0 | HTTPS public |
+| 51820 | UDP | 0.0.0.0/0, ::/0 | WireGuard VPN (DB node management) |
 | 2377 | TCP | 10.10.10.0/24, 10.10.20.0/24 | Docker Swarm control plane |
 | 7946 | TCP/UDP | 10.10.10.0/24, 10.10.20.0/24 | Docker Swarm node discovery |
 | 4789 | UDP | 10.10.10.0/24, 10.10.20.0/24 | Docker Swarm VXLAN overlay |
-| 8200 | TCP | 10.10.10.0/24 | Vault API |
+| 8200 | TCP | 10.10.10.0/24 | Vault API (Host port kapalı, sadece private/overlay) |
 | 6379 | TCP | 10.10.10.0/24 | Redis |
 | 5672 | TCP | 10.10.10.0/24 | RabbitMQ AMQP |
 | 61613 | TCP | 10.10.10.0/24 | RabbitMQ STOMP |
@@ -55,6 +56,7 @@ Subnet'ler: app `10.10.10.0/24`, db `10.10.20.0/24`
 | Port | Protokol | Kaynak | Açıklama |
 |------|----------|--------|----------|
 | 22 | TCP | admin CIDRs | SSH |
+| 51820 | UDP | 0.0.0.0/0, ::/0 | WireGuard VPN |
 | 5432 | TCP | 10.10.10.0/24 | PostgreSQL (app'ten) |
 | 27017 | TCP | 10.10.10.0/24 | MongoDB (app'ten) |
 | 2377 | TCP | 10.10.10.0/24 | Docker Swarm control plane |
@@ -67,15 +69,22 @@ Subnet'ler: app `10.20.10.0/24`, db `10.20.20.0/24`
 
 App firewall test ile aynı kurallara sahip (kaynak IP'ler prod subnet'leri).
 
-#### DB Firewall (`iklim-prod-firewall-db`) — test'ten farklı kurallar
+#### DB Firewall (`iklim-prod-firewall-db`)
 
 | Port | Protokol | Kaynak | Açıklama |
 |------|----------|--------|----------|
-| 5432 | TCP | 10.20.20.0/24 | PostgreSQL replikasyon (DB subnet içi) |
-| 27017 | TCP | 10.20.20.0/24 | MongoDB replica set internal |
-| 2379 | TCP | 10.20.20.0/24 | etcd client |
-| 2380 | TCP | 10.20.20.0/24 | etcd peer |
-| 8008 | TCP | 10.20.20.0/24 | Patroni REST API |
+| 22 | TCP | admin CIDRs | SSH |
+| 51820 | UDP | 0.0.0.0/0, ::/0 | WireGuard VPN |
+| 2377 | TCP | 10.20.10.0/24 | Docker Swarm control plane (Manager IP'lerden) |
+| 7946 | TCP/UDP | 10.20.10.0/24, 10.20.20.0/24 | Docker Swarm node discovery |
+| 4789 | UDP | 10.20.10.0/24, 10.20.20.0/24 | Docker Swarm VXLAN overlay |
+| 5432 | TCP | 10.20.10.0/24, 10.20.20.0/24 | PostgreSQL (App erisimi + DB replikasyon) |
+| 27017 | TCP | 10.20.10.0/24, 10.20.20.0/24 | MongoDB (App erisimi + replica set internal) |
+| 2379 | TCP | 10.20.20.0/24 | etcd client (DB subnet içi) |
+| 2380 | TCP | 10.20.20.0/24 | etcd peer (DB subnet içi) |
+| 8008 | TCP | 10.20.20.0/24 | Patroni REST API (DB subnet içi) |
+
+> **Önemli:** Mikroservis ve altyapı servisleri (`docker-stack-infra.yml`) artık published port içermemektedir. SWAG dışındaki servislere erişim `iklimco-net` overlay üzerinden veya private IP (VPN) üzerinden sağlanır.
 
 ---
 
@@ -123,7 +132,7 @@ Sonra uygula:
 cd terraform/hetzner/test && terraform apply
 
 # Ansible
-cd ansible/test && ansible-playbook test-bootstrap.yml --tags hardening
+cd ansible/test && ansible-playbook test-bootstrap.yml --tags hardening --vault-password-file=../.vault_pass
 ```
 
 ### Yeni port açılacaksa
diff --git a/setup-vs-roadmap-map.md b/setup-vs-roadmap-map.md
index 1aa26ce..5422fe0 100644
--- a/setup-vs-roadmap-map.md
+++ b/setup-vs-roadmap-map.md
@@ -48,6 +48,13 @@ Terraform/Ansible setup aşamalarından hangisinde ele alındığını gösterir
 | Patroni + PostgreSQL HA deploy | **Manuel `08-prod-db-cluster-kurulum.md`** — Bölüm 5.4 |
 | 3× `act_runner` systemd (HA runner) | **Ansible `09-prod-runner-ha-ve-swarm.md`** — `act_runner` role |
 | GoDaddy credentials storagebox'a yükleme | **Manuel kalır** — secret yönetimi, Terraform/Ansible dışı |
+| `docker-stack-infra.yml` port kaldırma + SWAG/cert-reloader ekleme | **Repo değişikliği** — `roadmap/prod-env/03` |
+| SWAG nginx proxy conf'ları (`swag/proxy-confs/*.conf.tpl`) | **Repo içinde teslim edildi** — `roadmap/prod-env/04` |
+| APISIX SSL cert yükleme bloğu kaldırma (`init/apisix-core/init.sh`) | **Repo değişikliği** — `roadmap/prod-env/05` |
+| cert-reloader sidecar servisi | **`docker-stack-infra.yml`'e eklendi** — `roadmap/prod-env/06` |
+| Vault Raft Cluster geçiş planı | **Manuel / İleri Faz** — `roadmap/prod-env/07` |
+| Pipeline güncelleme: Prepare SWAG Dirs + Bootstrap SWAG Cert | **`deploy-prod.yml`** — `roadmap/prod-env/08` |
+| Deployment sonrası doğrulama kontrol listesi | **Manuel `roadmap/prod-env/09-verify.md`** |
 
 ## Klasör yapısı