Помогите с named.conf

Может, гуру поправят, но я бы написал так:
acl lan {192.168.1.0/24; 127.0.0.1; };
options {
 directory "/var/named"; 
 forward only; 
 forwarders {223.242.26.60; 223.242.27.60; };
 listen-on{ 
   192.168.1.1; # eth0 смотрящий в сеть
   127.0.0.1;
 }
 allow-query { lan; }; 
 allow-recursion { lan; };
 allow-transfer { lan; }; 
};
# кстати, закрывающую скобочку от options не забыл?
zone "." { type hint; file "named.ca"; }; 
# далее без изменений

У меня, по крайней так. Все работает.

я вот вообще понять не могу зачем подрят ставить
allow-query { lan; };
allow-recursion { lan; };
allow-transfer { lan; };
??????
вполне лостаточно одного

allow-query { lan; };
коню понятно если вы разрешаете делать запрос на сервак
из внутренней сети и шариться ей по инету то и рекурсия
им как воздух нужна, кстати по умолчанию она просто включена
если явно не запрещена. Яб писал в духе отрицания
не помню работает как оно работает в намеде

ну а зачем
allow-transfer { lan; }; ????
по идее внутренним юзерям трансферить зоны вообще нельзя разрешать
на кой они им ????

может я еще просто не проснулся ?

Это на всякий случай, чтобы локальные зоны не "уехали" в кеш DNS провайдера (указанного в forwarders). Мало ли - вдруг локальное имя домена совпадает с уже существующим "глобальным". Кроме того, это не дает сканировать твой DNS с внешнего интерфейса и меньше шансов ломануть. Может, я не прав, но перестраховываюсь.

Раз уже прописан allow-recursion { lan; }
зачем тогда recursion no ? Ведь этот запрет распространяется на всех, в том числе и на lan!

По-моему, раз есть allow-recursion { lan; }, то уже никто кроме локальшиков не сможет резолвиться
через данный named.