la variable PHP $_SERVER['REMOTE_ADDR'] no almacena la info desde la cabecera HTTP_X_FORWARDED_FOR que es enviada por el cliente.

$_SERVER['REMOTE_ADDR'] se inicializa con valor seteado por Apache u otro Web server basado en info desde niveles TCP/IP, asi que si la configuracion esta bien hecha a nivel servidor, y la de PHP es asi por defecto, no vas a poder hacer ip spoofing simplemente usando la cabecera mandada por el cliente HTTP_X_FORWARDED_FOR..

Asi pues, si tu proposito es ser programador Web y usas PHP, deberias de usar $_SERVER['REMOTE_ADDR'] para identificar la IP del cliente, y nunca las cabeceras X_* ..
Aun asi siempre valida/filtra la data que viene por $_SERVER !