Há uma excelente discussão sobre isso em link .
O que você está fazendo é basicamente correto, exceto pelo fato de que você precisa definir "recursão sim" mesmo que sua configuração de DNS exija que seu servidor seja um servidor somente de encaminhamento. Isso pode parecer contra-intuitivo, mas é assim que a prescrição vai. Aqui está uma configuração de amostra:
acl goodclients {
192.0.2.0/24;
localhost;
localnets;
};
options {
directory "/var/cache/bind";
recursion yes;
allow-query { goodclients; };
forwarders {
8.8.8.8;
8.8.4.4;
};
forward only;
dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};