Принцип работы следующий. Большинство провайдеров предоставляют гостевой доступ к внутренним ресурсам(например к своему FTP, к серверу статистики, и т.д.). При подключении по гостевому каналу пользователю будут доступны только внутренние ресурсы, или ресурсы, разрешенные администратором. Ко всему остальному доступ блокируется. Так вот бывает так(точнее раньше было ), что ICMP-пакеты, которые идут от пользователя(icmp-echo-request, icmp-echo-reply - пинг) не блокируются фаерволом на шлюзе, через который идут все пакеты от тебя. Так бывает, когда администратор уделил немного внимания политикам для icmp-протокола, и просто выставил их в ACCEPT в обоих направлениях. В итоге мы имеем то что, мы можем пропинговать любой хост, находящийся в интернете, т.е. в запрещенной для тебя сети. Тогда делают так, ставят на каком-нибудь сервере в интернете демон(сервис), который будет принимать icmp-пакеты и обрабатывать их. На твоем же компе, ставиться прокси-сервер, который все отправленные через него данные туннелирует в ICMP-пакеты, и отправляет их в сеть, на сервер, где запущен твой демон. Демон приняв такой пакет, делает обратное, вытягивает полезные данные из icmp-пакета, и отправляет их в интернет. В обратном направлении, все по такому же принципу. Т.е. демон, запущенный на твоем сервере, доступным из интернета, является как бы icmp-proxy сервером, к которому есть доступ через гостевой(бесплатный) доступ. И все работает по такой схеме: Вот и весь принцип. О принципе его реализации как-то давно писал Forb в Хакере(не помню в каком номере), поищи, может найдешь. А вообще это все устарело, и почти у всех провайдеров такая шняга уже давно не работает, по крайней мере у меня в городе. Хотя у тебя может другой случай. Если пинг до внешнего сервера в интернете проходит через гостевое соединение, тогда тебе повезло.
Шеллы можно купить практически на любом форуме соответствующей тематики в разделе "покупка и продажа". Одним из самых известный туннелей является Simple ICMP Tunnel: http://sourceforge.net/projects/itun/