Возможно, REMOTE_ADDR можно изменить только на пакетном(IP) уровне, остальные переменные можно передать в HTTP-заголовке (последствием является их изменение).

-ап-
Потребуется "собрать" все заголовки TCP/IP-соединения ручками т.е. пакеты, затем доставить их к цели, что является "практически" невозможным(<-ага вот эти ребята).
Сложность заключается в том, что SYN ACK-пакеты (которые нужны для установки TCP-соединения) не смогут к нам вернуться, т.к. система ответить на наш фейковый адрес.
Именно поэтому Апач пишет в логах REMOTE_ADDR и именно поэтому ВСЕ системы пользовательской идентификации ДОЛЖНЫ в первую очередь основываться на данном "параметре".
Все выше сказанное не значит, что повести атаку не возможно. Существует IP-Spoofing атака которая как раз подразумевает под собой данную подмену и была распространенная в локальный сетях.

1. Все заголовки начинающихся на "X-" вообще не относятся к спецификации HTTP ^_^ смело плюйте горе кодерам в лицо.
2. ОС может записать записать IP в совсем другую переменную окружения.