Você realmente precisa de duas ACLs para lidar com isso corretamente. Um para servidores de nome de mesmo nível e um para clientes.
acl "nameservers" {
# A list of all the name servers that this server has transfers or receices zones from
# should basically be all the masters/slave name servers, for all defines zones
};
acl "internalclients" {
# all your internal networks/client machines that can use this name server for resolution.
127.0.0.0/8;
10.0.0.0/8;
172.16.0.0/12;
192.168.0.0/16;
};
options {
allow-notify { nameservers; };
allow-transfer { nameservers; };
allow-recursion { internalclients; };
allow-query { internalclients; };
};
zone "example.org" {
allow-query {any;};
allow-transfer { nameservers; };
};
Para o melhor nível de proteção contra envenenamento, você não deveria estar servindo zonas dos mesmos servidores DNS que você está usando para resolução de clientes. Mas se você confia em seus clientes internos, então acredito que uma configuração como essa é adequada.