DNS Recursivo

Boa tarde a Todos, gostaria de obter algumas informações sobre fechar o recursivo de um servidor BIND.
Seguinte tenho dois servidores rodando perfeitamente, no entanto estou fechando ele com a diretiva allow-recursion { network_allowed; };
acl network_allowed {
192.168.1.0/24;
127.0.0.1;
};
Até ae beleza, reincio o bind e ok, testo de outra rede ele não resolve, mas se resolvo de dentro da rede permitada e depois vou para a rede não permitida e tento o mesmo site ele abre, normal, isso pq já esta no cache do dns, então adiciono a diretiva
allow-query { network_allowed; };
ae ele não deixa mais nem acessar o cache, bele ae ele tranca só para a minha rede. mas no log aparece essas msg.
Jan 4 15:26:24 atenas named[13393]: client 200.228.126.26#8226: query (cache) '16.xx.xxx.xxx.in-addr.arpa/PTR/IN' denied

Esse Servidor de DNS ele é autoritativo para fora e recursivo para a minha rede.

eu postei um artigo aqui na under-linux explicando com exemplos como fazer e como funciona

Dicas para proteger seu servidor DNS (BIND) - Parte 01 | Under-Linux.Org

Eu li o seu artigo, e achei interessante, até cheguei a implementa ele, que é a onde dá esse log no syslog, so qdo ativo a allow-query, detalhe não utilizo a opção blackhole.