In qualche modo ho risolto.
Invece di inserire l'include alla pagina protezione.php nelle pagine che voglio proteggere, ho inserito addirittura tutti i comandi con il ciclo if come avevi detto, ottenendo questa pagina:
<?
session_start();
if ($_SESSION['login'] != "ok") {
header("Location: index.html");
} else {
exec("./on1");
header("location: home.php");
}
?>

Seguendo anche il secondo tuo suggerimento ho cambiato index.php in home.php.

Ciao e grazie mille.