Несколько DNS в подсетях

[skytrain]

Доброго времени суток.
Речь пойдет только о ubuntu server 14.04.1

Есть 4 подсети, маршрутизируемые ВПН главным шлюзом в центральном филиале . (OPENVPN БРИДЖЕМ. Это важно)
Получается звезда.

В каждой подсети по серверу, который держит линк до главного сервера.
На вторичном каждом сервере есть bind настроенный как slave, хранящий копию прямой зоны, копию главной обратной зоны и свою обратную зону. Так-же BDC на samba4.

Все работает, НО!!!
В итоге мы в главной, прямой зоне имеем А записи всех серверов со всех их интерфейсов..... это плохо.
Далее кто-либо по запросу umo.local ловит адрес DC c внутреннего IP интерфейса одной из подсетей, в которую нет маршрута..... и финита ля комедиа....

Как быть?
Нужны ли копии главной обратной зоны на slav-ах
Как можно оградить прямую зону от А записей с внутренних интерфейсов так, что-бы они были видны только в подсетях?

[skytrain]

Мне кажется я нашел то что нужно.
update-policy { };
Осталось всего ничего. Правильно прописать то что должно быть в скобках.

Если кто-то имел с этим дело - отзовитесь ПЖЛ.

[skytrain]

update-policy возможно только на мастере....
Дело за малым. Изменить зону на вондовом ДНС с мастера н слейв.
 

[AnrDaemon]

Вообще-то allow-transfer...

[skytrain]

Вообще-то allow-transfer...

Это не то к сожалению.
Зоны передать не проблема.
Проблема - это запретить передавать\принимать A запись контроллера домена.