...

# определения прав доступа по умолчанию

allow-query { trusted };       # разрешить запросы группе «доверенных» хостов

allow-transfer { none };       # запретить пересылку файла зоны кому-либо

allow-recursion { trusted };   # pазрешить рекурсивные запросы группе «доверенных» хостов

    ...

};

Данные директивы определяют поведение bind по умолчанию (запросы разрешены только для «доверенных» хостов, трансфер зон запрещен, рекурсивные запросы разрешены только для «доверенных» хостов), эти директивы можно переопределить для каждой зоны в соответствующей секции zone. Тут я советую следовать такому «правилу»: зонам, для которых наш сервер имен является вторичным (slave), необходимо явно разрешить запросы с любым ip-адресом источника, для первичных зон (master), кроме (0.0.127.in-addr.arpa), дополнительно к этому необходимо разрешить трансфер зонных файлов, то есть вот что у нас выходит:

zone "example.com" {

 type master;

 file "primary/example.com";

# переопределение прав доступа, заданных по умолчанию в options

 allow-query { any; };

 allow-transfer { localhost; 192.168.3.0; }; В

 };

zone "3.168.192.in-addr.arpa" {

 type slave;

 file "secondary/0.126.in-addr.arpa";

 masters { 192.168.3.1; } ;

# переопределение прав доступа, заданных по умолчанию в options

 allow-query { any; };

 allow-transfer { localhost; };

 };

};

В том случае если ваш сервер является, например, сервером имен (единственным) для локальной сети (intranet), т. е. не является шлюзом во внешний мир, то можно настроить bind таким образом, чтобы он разрешал запросы только с «доверенных» хостов. Для этого необходимо в named.conf внести описание зоны bind:

zone "bind" chaos {

    type master;

    file "primary/bind";

    allow-query { trusted };

    allow-transfer { none; };

};

и создать, собственно, файл описания зоны:

$TTL 3600

$ORIGIN bind.

@   1D     CHAOS      SOA      localhost.  root.localhost. {