Você tem duas opções na configuração BIND do seu mestre para uma determinada zona:
notify yes - enviará notificações para todos os registros NS publicados para o domínio.
notify explicit - enviará notificações apenas para os IPs listados na configuração also-notify .
Em ambos os casos, os escravos devem ser configurados com allow-notify que aceita essas notificações do IP do mestre.
Uma vez que aceita um NOTIFY, o escravo envia um pedido IXFR ou AXFR de volta para o mestre. Se o mestre está 'escondido' (ou seja: não publicado como um registro NS para o domínio), então isso não importa. Os escravos precisam ser configurados diretamente com o IP do mestre, portanto devem saber para onde enviar o pedido.
Desde que o firewall do mestre permita as solicitações dos escravos e que o mestre esteja configurado para permitir transferências de zona, as salvas podem recuperar sua configuração. (Esta é a parte que você precisa bloquear para evitar que servidores de nomes não autorizados digitem seus arquivos de zona)