evitar que PowerDNS sea open_resolver

Lo siento si mi pregunta es demasiado larga.

Tengo 4 servidores PowerDNS, como se muestra a continuación con IP de ejemplo. ns1.ejemplo.com 1.1.1.1 ns2.ejemplo.com 2.2.2.2 rec1.ejemplo.com 3.3.3.3 rec2.ejemplo.com 4.4.4.4

en mi red, ns1 y ns2 son servidores autorizados que tienen algunas zonas y zonas inversas. y rec1 y rec2 son servidores DNS recursos. He configurado rec1 y rec2 para solicitar mis propias zonas de ns1 y ns2 con "zonas directas" en powerdns/recursor.conf, lo cual funciona bien. y también configuro "forward-zones-recurse=.=8.8.8.8" para enviar todas las demás consultas al DNS de Google, que también funciona. Tengo tantas subredes (clientes) en mi red que usan rec1 y rec2 como servidores DNS principales en sus máquinas. preguntan a cualquier dominio de rec1 y rec2 según el dominio que rec1 y rec2 solicitan esa consulta a ns1 y ns2 o a google. Hasta este punto no tengo ningún problema, mis clientes pueden consultar con éxito cualquier dirección.

mi problema es que mi rec1 y rec2 se convirtieron en "open_resolver" para Internet, quiero decir, cualquiera desde Internet puede enviar consultas DNS a estos servidores y funcionan. Configuré "permitir desde =mis_subredes" en powerdns/recursor.conf pero causa un problema, que es que los servidores de Internet como los servidores de Gmail no pueden buscar mi zona_inversa, por lo que todos mis registros PTR no están disponibles en Internet. Y si cambio "allow-from= "a 0.0.0.0/0 se convirtieron en open_resolver para todas las IP y cualquier consulta

Me pregunto si hay una solución para resolverlo como en Bind9, donde puedo usar "allow_query {trusted;}" para cada zona en la opción nombrada.conf. así puedo controlar el servidor Bind para que se convierta en open_resolver y simplemente responder a mi propia zona inversa en Internet, pero no hay otra pregunta.

Me alegraría si alguien pudiera ayudarme. gracias por adelantado