BIND como um DNS de encaminhamento

Vamos ver se alguém poderia me ajudar. No meu cenário, eu tenho um serviço DNS de um fornecedor que deve receber todas as consultas e verificar uma lista branca para resolver um domínio ou não. Para responder a consultas, o endereço IP de origem deve ser apenas um endereço IP confiável, que é de um servidor DNS público que tenho em minha DMZ. Então, configurei o BIND como "somente encaminhamento". Todos os clientes consultam meu servidor DNS público e estão encaminhando para o serviço DNS do fornecedor.

Problema: Existem algumas páginas que contêm conteúdo de diferentes fontes ou feeds de outros sites e domínios diferentes. Quando eu consultar de minha estação local diretamente para o serviço de DNS do fornecedor, os domínios que são permitidos são respondidos e eu tenho uma página parcial carregada (o conteúdo de domínios não permitidos não é respondido e a página da Web não é carregada corretamente). Esse é um comportamento esperado. Quando eu consultar através do meu servidor DNS público, que deve apenas encaminhar as consultas, não tenho qualquer parte da página carregada. Parece que, após uma primeira negação, a página parou de ser carregada ou o meu servidor DNS público não está encaminhando todas as consultas para o serviço DNS do fornecedor.

Você já teve algum problema semelhante? Deve ser um problema linux / OS, uma configuração de segurança do BIND ou devo definir algum outro parâmetro para encaminhar todas as consultas?

Aqui está o meu arquivo named.conf.options:

options {
directory "/var/cache/bind";
recursion yes;
allow-query { any; };
forward only;
forwarders{ X.X.X.X; Y.Y.Y.Y; };
allow-recursion { any; };
allow-query-cache {any; };
clients-per-query 0;
recursive-clients 0;
auth-nxdomain no;    # conform to RFC1035
listen-on-v6 { any; };
};

Obrigado antecipadamente!