LAN için BIND9 kullanan DNS sunucusu [DEBIAN]

DEBIAN üzerinde BIND9 kullanarak LAN DNS sunucusunu yapılandırmaya çalışıyorum.

Bağlam: ağ maskesi: 255.255.0.0, ağ IP: 10.1.xxx.xxx
bir kamu malı kendi example.com dış NS tarafından yönetilen ve amacım tüm alt alanları yönetmektir lan.example.com , örneğin adres node1.lan. example.com IP 10.1.1.1'e sahip bir bilgisayardır

Mevcut yapılandırma
/etc/bind/named.conf:

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

/etc/bind/named.conf.options:

options {
    directory "/var/cache/bind";
    forwarders {
        EXTERNAL_DNS_NAMESERVERS;
    };
    dnssec-validation auto;
    recursion yes;
    allow-query { 10/24; 127.0.0.1; };
    allow-recursion { 10/24; 127.0.0.1; };
    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { any; };
    listen-on port 53 { 127.0.0.1; 10.1.0.2; } ;
};

/etc/bind/named.conf.local:

zone "lan.example.com" {
    type master ;
    allow-query { 10/24; 127.0.0.1; };
    file "/etc/bind/zone.lan.example.com" ;
};
zone "0.1.10.in-addr-arpa" {
    type master ;
    notify no ;
    allow-query { 10/24; 127.0.0.1; };
    file "/etc/bind/zone.0.1.10.in-addr.arpa" ;
} ; 
zone "2.1.10.in-addr-arpa" {
    type master ;
    notify no ;
    allow-query { 10/24; 127.0.0.1; };
    file "/etc/bind/zone.2.1.10.in-addr.arpa" ;
} ; 

/etc/bind/named.conf.default-zones:

zone "." {
    type hint;
    file "/etc/bind/db.root";
};
zone "localhost" {
    type master;
    file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
    type master;
    file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
    type master;
    file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
    type master;
    file "/etc/bind/db.255";
};

/etc/bind/zone.lan.example.com:

; zone.lan.example.com BIND9 configuration file.
;
$TTL 604800
@   IN  SOA ns.lan.example.com. root.localhost. (
    201212041   ; serial no. (increment by +1 after every edit!)
    604800      ; refresh
    86400       ; retry after failure
    2419200 ; expired
    604800); TTL negative cache
;
@   IN  NS  ns.lan.example.com.
@   IN  A   127.0.0.1
;
; A records - Local machines and addresses:
; Servers:
router  IN  A   10.1.0.1    ; Router
ns      IN  A   10.1.0.2    ; NS Server
server  IN  A   10.1.0.2    ; Server
media   IN  A   10.1.0.3    ; Media Server

;
; Workstations:
node1   IN  A   10.1.1.1    ; node1

Konu:

client 10.1.0.1#50808: query (cache) 'a.root-servers.net/A/IN' denied
client 10.1.0.2#59641: query (cache) 'example.com/A/IN' denied
client MY_EXTERNAL_IP#37853: query 'server.lan.example.com/A/IN' denied
client MY_EXTERNAL_IP#56367: query (cache) 'superuser.com/A/IN' denied

Server.lan.example.com'u ns.lan.example.com ad sunucusunda kazmaya çalıştığımda, başka bir makineden bunu yapmaya çalışırsam her şey başarısız olur.

Bunu Nasıl Çözebilirim?

Şimdiden teşekkürler

BIND'yi sorgulara izin verecek şekilde yapılandırdınız 10/24. Bunun geçerli bir ağ maskesi olarak BIND bile kabul ederse emin değilim, ama eğer olursa, o zaman kadar genişleyip veya hangi uymuyor . (Eğer karıştırmak mı ile ?)10.0.0.0/2410.0.0.0/255.255.255.0 10.1.0.1/2410.0.0.0/8

Notunuza göre ağ maskesi: 255.255.0.0, ağ IP: 10.1.xxx.xxx , doğru ağ olmalıdır .10.1.0.0/16

Önceki cevap, ilk başvuru sahibi için problemi çözdü, ancak başka, daha genelleştirilmiş bir şekilde, bunu yapmak için yerleşik ACL'leri "yerel ağlar" ve "yerel ana bilgisayar" gibi kullanabilirsiniz:

allow-recursion { localnets; } ;

localhost oldukça açıklayıcıdır (127.0.0.1 veya :: 1'e ek olarak, BIND'in kullandığı her ağ arabiriminin yapılandırılmış adresini içermesi dışında (böylece 127.0.0.1 artı yerel ana bilgisayara atanan tüm adresler).

localnets, yerel arayüzler yapılandırmanıza dayanır ve adreslerinden ve ağ maskelerinden türetilir.

Sunucu bir arayüze sahipse değil özel bir adres alanında ama internet yönlendirilebilir sonra muhtemelen "localnets" kullanmak istemiyorum