En principio eso lo puedes resolver con un frame (de HTML) (pero en historiales se vería el URL que apuntó) o con técnicas de mod_rewrite (módulo de Apache) para reescribir el URL (sería lo más transparente para tus actuales scripts ..)

Ya te he comentado (y puedes leer el manual oficial de PHP al respecto) que fpassthru() .. o readfile() .. o fopen() .. etc .. abren tu archivo tal cual es .. no lo interpretan.

En tal caso deberías usar:
include()
www.php.net/include

que con una ruta absoluta (/var/www......) va a incluir tu código en el punto que lo llames (de tu index.php por ejemplo) y lo va a ejecutar como un todo (un sólo script).

Bueno .. la sesión en sí no es más que un sitio donde almacenar variables por un tiempo y que sólo pertenecen al cliente que las crea por ese tiempo (lo mismo que las cookies pero estas (las sesiones) se almacenan en el servidor).. Ahora, tu lógica es la que tendrá que validar vía el valor de esas variables que uses desde donde viene.

Por ejemplo: (en psudo-código):

index.php -> creas variable de sesión pasa_por_indice = SI

y en las subsiguientes ficheros.php validas si la variable de sesión "pasa_por_indice" tiene el valor SI .. Si entras directo a ficheros.php sin pasar por tu indice.php .. (que crea esa variable de sesión) NO estará definida y por ende tu validación no dejará ejecutar el resto de ficheros.php ..

Una vez que llegas a directorio1/ficheros.php . puedes eliminar esa sesión ("pasa_por_indice") .. si salto a ficheros.php desde ahí pero el de directorio2/ .. la variable de sesión mencionada que usas para validar .. NO existirá por qué la borrastes.

Y .. como todas estas variables están en la sesión que se crea en el servidor .. no corres el peligro de que sean "alteradas" como por ejemplo sucedería si intentases hacer lo mismo bajo una cookie o peor por el URL (en links).

Un saludo,