Use apenas um acl para limitar as consultas à sua zona interna.
acl internal-networks {
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
};
zone "internal.example.com" {
type master;
file "internal.example.com";
allow-query { internal-networks; };
};
Você pode adicionar endereços IP adicionais à rede interna acl. Não importa se eles são publicamente roteáveis ou não; o que você adicionar lá pode consultar a zona.