>[оверквотинг удален]
>> Вот наш конфиг:
>> zone "xxx.xxx.xxx.in-addr.arpa" {
>>         type master;
>>         file "путь_до_файла_зоны";
>>         allow-transfer {ip_провайдера;};
>> };
> фильтровать id-addr ... нуну ... тоже очень секурно )))
> откройте снаружи 53 udp tcp, снимите фильтр с трансфера
> укажите реальные ip и имена - народ потестит и отпишется если уж
> сами не в состоянии глянуть свой шлюз ...

я принимаю гипотезу о своей криворукости и т.д. попробовал перекинуть свой slave в другую подсеть и всё забирается опять.

Очень грешу на NAT.

Может кто-нибудь подскажет,что прописать на Cisco. Может порт 53 не открыт у меня нормально?
есть запись на cisco в access-list :
permit tcp any any eq domain
permit udp any any eq domain

и ещё есть записи:

ip nat inside source static tcp внутренний_ip 53 внешний_ip 53 extendable
ip nat inside source static udp внутренний_ip 53 внешний_ip 53 extendable
ip nat inside source static внутренний_ip внешний_ip