evitar que o PowerDNS seja open_resolver

desculpe se minha pergunta é muito longa.

Tenho 4 servidores PowerDNS, conforme abaixo com exemplos de IPs. ns1.example.com 1.1.1.1 ns2.example.com 2.2.2.2 rec1.example.com 3.3.3.3 rec2.example.com 4.4.4.4

na minha rede, ns1 e ns2 são servidores autorizados que possuem algumas zonas e zonas reversas. e rec1 e rec2 são servidores DNS recursores. Eu configurei rec1&rec2 para solicitar minhas próprias zonas de ns1&ns2 com "zonas de encaminhamento" em powerdns/recursor.conf, o que funciona bem. e também configuro "forward-zones-recurse=.=8.8.8.8" para enviar todas as outras consultas ao DNS do Google, o que também funciona. Tenho tantas sub-redes (clientes) em minha rede que usam rec1 e rec2 como principais servidores DNS em suas máquinas. eles perguntam qualquer domínio de rec1 e rec2 de acordo com o domínio que rec1 e rec2 fazem essa consulta de ns1 e ns2 ou do google. até este ponto não tenho problemas, meus clientes podem consultar qualquer endereço com sucesso.

meu problema é que meu rec1 e rec2 se tornou "open_resolver" para a internet, quero dizer, qualquer pessoa da internet pode enviar consultas DNS para esses servidores e eles funcionam. Eu configurei "allow-from=minhas_sub-redes"no powerdns/recursor.conf, mas causa um problema, que é que os servidores da Internet, como os servidores do Gmail, não podem procurar minha zona reversa. Portanto, todos os meus registros PTR não estão disponíveis na Internet. E se eu alterar o "allow-from= " para 0.0.0.0/0 eles se tornaram open_resolver para todos os IPs e quaisquer consultas

Gostaria de saber se existe uma solução para resolver isso como no Bind9 que posso usar "allow_query {trusted;}" para cada zona no nomeado.conf.option. para que eu possa controlar o servidor Bind para se tornar open_resolver e apenas responder minha própria zona reversa para a internet, mas nenhuma outra pergunta.

Eu ficaria feliz se alguém pudesse me ajudar. Agradeço antecipadamente