Разворачиваю в сети кучу виртуалок, понадобились DNS

Есть два DNS-сервера на базе debian 10. Проблемы:
1. NSD работает прекрасно, но поскольку он только авторитарный - не форвардит запросы к внешним серверам для разрешения внешних имён.
2. Unbound - форвардит, но не хочет обращаться к прямой stub-zone и вообще не понимает реверсную зону; выход - только в том, чтобы реверс целиком записывать в его конфу.
3. Рекомендуют вешать unbound наружу, а nsd на интерфейс обратной петли - но тогда кеширующий сервер не получает зоны от основного.
Пытаюсь вешать оба на внешний интерфейс, разнеся по портам (unbound на порту 53, nsd на порту 5353) - нормально не работают.
4. bind9 работает прекрасно, но в этих ваших интернетах говорят, что он старый и уязвимый.
P.S. Возможно, плохая работа unbound связана с тем, что серверы запускаются не в полноценных виртуалках, а в LXC - впрочем, как я понял, unbound и в нормальном состоянии фильтрует запросы в том числе по адресам и требует хитрых настроек типа insecure-domain
------------------------------------
Вопрос, собственно: стоит ли мучиться со связкой NSD+ Unbound или не париться и пользовать Bind9? А может кто-то даже решение подскажет?

UPD. Наверное, надо было задавать этот вопрос в категории "Интернет".