Ограничение типов запросов в Bind9

Сеть относительно проста: внутри есть Active Directory, в DMZ - сервер пересылки DNS BIND9. Контроллер домена Active Directory является внутренним DNS-сервером для всех клиентов Windows, и все машины должны использовать DNS-сервер пересылки для выполнения DNS-запросов.

Я пытаюсь помешать моим клиентам выполнять определенные типы поиска, например, записи TXT. Это из-за проблем безопасности, в частности, туннелирования DNS (см. Инструмент под названием йод для получения дополнительной информации).

Я ожидал найти простую опцию в BIND9 для отключения определенных типов поиска записей, но я не могу найти ничего подходящего. Кто-нибудь знает что-нибудь, что поможет? Или в конфиге BIND или что-то еще?